Voci ARP dinamiche che si trasformano in voci ARP statiche


9

Di recente ho acquisito un client con uno strano problema di memorizzazione nella cache ARP su uno dei loro server.

Ho un server che alla fine inizierà a trasformare le sue voci ARP dinamiche in voci ARP statiche. Ciò causa problemi perché quando la macchina che ha voci ARP statiche su questo server riceve un nuovo IP tramite DHCP, il server non è in grado di comunicare con i client. Svuotare la cache ARP risolve il problema e il server va bene per circa una settimana, quindi inizia lentamente a trasformare le voci ARP in voci ARP statiche. Non l'ho ridotto a quando o quanti inizia a fare, ma lentamente inizi a vedere 1 ARP statico e poi 5 e poi 10.

Il server in questione è un Windows Server 2003 SP2. È un server DC, DHCP e DNS. Ho controllato le opzioni dell'ambito DHCP e non c'è nulla che indichi qualcosa a che fare con le voci ARP statiche. L'unica cosa diversa tra questo server DNS e l'altro nostro server DNS è che il "Aggiorna dinamicamente i record DNA A e PTR per i client DHCP che non richiedono aggiornamenti" viene controllato sul server problematico.

Ho fatto un po 'di ricerche su questo e sembra che ciò possa accadere se sono in esecuzione servizi di tipo PXE, da quello che posso dire, non c'è nulla che esegue un server PXE.

Sono un po 'perso perché non ho mai visto voci ARP dinamiche iniziare a trasformarsi in voci ARP statiche. In questo momento la mia soluzione è un'attività di pianificazione che viene eseguita ogni 24 ore per cancellare la cache ARP (arp -d *). Vorrei non fare affidamento su questo compito di pianificazione.

Qualcuno l'ha mai visto prima o hai qualche suggerimento su come risolverlo?


3
Come stai determinando che queste voci ARP sono statiche? Inoltre, i servizi DC, DHCP e DNS non hanno direttamente a che fare con le funzioni di ARP o della tabella ARP.
joeqwerty,

Le voci ARP non persistono solo per un periodo di tempo limitato prima di essere scadute (20 minuti?) O sostituite quando viene rilevata una transazione per lo stesso IP.
mdpc,

@mdpc Sì, a meno che non siano statici, che è ciò con cui l'OP ha problemi.
fukawi2,

@joeqwerty - L'uso arp -ain Windows descriverà in dettaglio il tipo di voce nella tabella ARP. Le voci dinamiche alla fine si trasformeranno in voci statiche, non vi è alcun modello riconoscibile ad esso. L'unico meccanismo che conosco su come creare una voce ARP statica è utilizzarearp -s ip_addr eth_addr
Zach

@Zach - Gotcha. Volevo assicurarmi che fosse lì che li stavi vedendo. Detto questo, non ho mai visto prima quei sintomi. Queste sono voci statiche per gli indirizzi RFC 1918 (classi A, B e C) e non per gli indirizzi multicast (classe D) giusto?
joeqwerty,

Risposte:


0

Questo potrebbe essere benigno o maligno. Speriamo in benignità: c'è qualcosa in esecuzione sul tuo computer che pensa di conoscere meglio di ARP e sta aggiornando la tabella ARP "a mano". Sospetto qualcosa come un firewall o un altro tipo di programma di protezione degli endpoint, ma se davvero non riesci a rintracciarlo rivedendo ciò che è installato, l'unica soluzione è quella di rompere strumenti di audit pesanti come WPR / WPA o ProcessInternals, lasciali fare le loro cose e poi legare indietro gli eventi.

Potrebbe essere maligno: un classico attacco man-in-the-middle è quello di inviare un ARP che afferma di essere Alice quando sei davvero Bob: tutti aggiornano la loro cache e da allora in poi tutti quelli che inviano ad Alice pensano di parlarle quando in effetti il ​​loro traffico sta andando a Bob. O (in un altro modo) qualcuno si rompe nella tua macchina e imposta ARP statici su target "sbagliati".

Una vecchia strategia per sconfiggere la prima, a proposito, è quella di impostare voci ARP statiche per tutti gli obiettivi locali con cui si desidera parlare. Per il secondo, beh, se l'attaccante è sulla tua macchina, è troppo tardi.


0

Mi sono imbattuto in questo un paio di anni fa quando ho installato firewall ridondanti per un client. Il loro server 2003 è stato ritirato per essere ritirato una volta installato il nuovo controller di dominio, quindi ho inserito una soluzione temporanea per scaricare la cache arp ogni 2 minuti. Ho appena usato l'utilità di pianificazione per eseguire "arp -d" ogni due minuti, quindi se i firewall cambiassero le responsabilità il controller di dominio avrebbe comunque accesso a Internet per i servizi DNS.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.