Хорошо, я уже поискал в сети возможные решения и не нашел ни одного. Может вы, ребята, сможете мне помочь.
У меня есть установка Windows Server 2003 с фиксированным IP-адресом в маршрутизируемой локальной сети, стандартная сеть / 24. Сервер работает нормально, за исключением одного довольно важного раздражителя: он ARP сканирует всю подсеть (все 256 адресов, кроме своего собственного) каждые 20-30 секунд, двумя пакетами по 128 адресов с интервалом 10-15 секунд. Это вызывает ненужный и чрезмерный трафик ARP в моей локальной сети (до 40% всех пакетов, если локальная сеть не используется интенсивно).
Отправленные запросы являются стандартными запросами на обнаружение ARP с широковещательным MAC-адресом и последовательными IP-адресами в подсети LAN (не безвозмездно). Ни одно из других устройств или компьютеров в подсети не отображает такое поведение (Win XP, Win7, несколько маршрутизаторов и т. Д.), Поэтому это что-то специфическое для Win Server 2003.
Как мне запретить ему постоянно сканировать подсеть на предмет новых комбинаций MAC / IP? Я уже пробовал вручную установить тайминги ARP Cache на интерфейсе NIC (в реестре) на 600 секунд, но сервер, по-видимому, полностью игнорирует это.
Звучит очень странно. Вы уверены, что у вас нет «нежелательного» программного обеспечения или программного обеспечения, выполняющего «нежелательные» функции на машине?
Последовательное сканирование похоже на сканирование сети вредоносным программным обеспечением или некое ошибочное «управление» сетью, запускающее сканирование. В любом случае, это не стандартное поведение Windows Server 2003. Я помню, как Кайл Брандт описывал проблемы, которые он видел в драйверах Broadcom, вызывающих ложные ARP, но, если я правильно помню, не было даже намека на последовательное сканирование этих ARP.
Сетевой монитор Microsoft 3 или Монитор процесса может определить процесс на машине, которая фактически генерирует трафик. Я бы сначала склонился к Network Monitor.
Известно, что серверы с объединением в группу Broadcom и включенной балансировкой входящей нагрузки генерируют arp-штормы. Но последовательное сканирование действительно звучит подозрительно.
Предотвращение такого шторма ARP возможно, но непрактично, поскольку вы не сможете отличить законный трафик ARP от проблемного. Вам нужно будет определить, какое программное обеспечение вызывает проблему. Я не могу придумать ни одного сценария, в котором серверу нужно было бы заново изучать всю свою таблицу ARP каждые 30 секунд.