Недавно я приобрел клиента, у которого на одном из серверов возникла странная проблема с кешированием ARP.
У меня есть сервер, который в конечном итоге начнет превращать свои динамические записи ARP в статические записи ARP. Это вызывает проблемы, потому что, когда машина, имеющая статические записи ARP на этом сервере, получает новый IP-адрес через DHCP, сервер не может взаимодействовать с клиентами. Очистка кэша ARP решает проблему, и сервер работает около недели, а затем начинает медленно превращать записи ARP в статические записи ARP. Я не сужал его до того, когда и сколько он начнет работать, но постепенно вы начинаете видеть 1 статический ARP, затем 5, а затем 10.
Рассматриваемый сервер - это Windows Server 2003 SP2. Это сервер DC, DHCP и DNS. Я проверил параметры области DHCP, и там нет ничего, что указывало бы на какое-либо отношение к статическим записям ARP. Единственное отличие этого DNS-сервера от другого нашего DNS-сервера заключается в том, что на проблемном сервере проверяется «Динамическое обновление записей ДНК A и PTR для клиентов DHCP, которые не запрашивают обновления».
Я провел небольшое исследование по этому поводу, и похоже, что это может произойти, если запущены какие-либо службы типа PXE, насколько я могу судить, на сервере PXE ничего не работает.
Я немного растерялся, поскольку никогда не видел, чтобы динамические записи ARP начинали превращаться в статические записи ARP. Сейчас мое решение - задача расписания, которая запускается каждые 24 часа для очистки кеша ARP (arp -d *). Я бы не хотел полагаться на эту задачу расписания.
Кто-нибудь видел это раньше или есть предложения по устранению неполадок?
Я столкнулся с этим пару лет назад, когда устанавливал избыточные межсетевые экраны для клиента. Их сервер 2003 года должен был быть выведен из эксплуатации после установки нового контроллера домена, поэтому я добавил временное исправление, чтобы сбрасывать кеш arp каждые 2 минуты. Я просто использовал планировщик задач для запуска "arp -d" каждые пару минут, поэтому, если брандмауэры переключают обязанности, DC все равно будет иметь доступ в Интернет для служб DNS.
Это могло быть как доброкачественным, так и вредным. Будем надеяться на то, что на вашем компьютере работает что-то, что думает, что знает лучше, чем ARP, и обновляет таблицу ARP «вручную». Я подозреваю что-то вроде брандмауэра или другого типа программы защиты конечных точек, но если вы действительно не можете отследить это, проверив, что установлено, то ваш единственный выход - вырвать мощные инструменты аудита, такие как WPR / WPA или ProcessInternals, позвольте им делайте свое дело, а затем свяжите события.
Это может быть злонамеренно: классическая атака «человек посередине» заключается в отправке ARP-запроса, утверждающего, что вы Алиса, когда вы на самом деле Боб: все обновляют свой кеш, и с этого момента все, кто отправляет Алисе, думают, что разговаривают с ней. когда на самом деле их трафик идет к Бобу. Или (наоборот) кто-то взламывает вашу машину и устанавливает статические ARP для «неправильных» целей.
Старая стратегия для победы над первым, кстати, состоит в том, чтобы настроить статические записи ARP для всех локальных целей, с которыми вы хотите общаться. Во-вторых, хорошо, если злоумышленник находится на вашей машине, уже слишком поздно.