Ich habe kürzlich einen Client erworben, der auf einem ihrer Server ein seltsames ARP-Caching-Problem hat.
Ich habe einen Server, der irgendwann seine dynamischen ARP-Einträge in statische ARP-Einträge umwandelt. Dies führt zu Problemen, da der Server nicht mit den Clients kommunizieren kann, wenn der Computer mit statischen ARP-Einträgen auf diesem Server eine neue IP über DHCP empfängt. Durch das Löschen des ARP-Cache wird das Problem behoben, und der Server ist ungefähr eine Woche lang in Ordnung. Anschließend werden ARP-Einträge langsam in statische ARP-Einträge umgewandelt. Ich habe es nicht eingegrenzt, wann oder wie viele es zu tun beginnt, aber langsam sehen Sie 1 statisches ARP und dann 5 und dann 10.
Der betreffende Server ist ein Windows Server 2003 SP2. Es ist ein DC-, DHCP- und DNS-Server. Ich habe die Optionen für den DHCP-Bereich überprüft und nichts enthält Hinweise auf statische ARP-Einträge. Der einzige Unterschied zwischen diesem DNS-Server und unserem anderen DNS-Server besteht darin, dass auf dem problematischen Server die Option "DNA A- und PTR-Einträge für DHCP-Clients, die keine Aktualisierungen anfordern, dynamisch aktualisieren" aktiviert ist.
Ich habe ein wenig darüber recherchiert und es scheint, dass dies passieren kann, wenn Dienste vom Typ PXE ausgeführt werden. Soweit ich weiß, läuft auf einem PXE-Server nichts.
Ich bin ein bisschen verloren, da ich noch nie gesehen habe, dass dynamische ARP-Einträge zu statischen ARP-Einträgen werden. Im Moment ist meine Lösung eine Zeitplanaufgabe, die alle 24 Stunden ausgeführt wird, um den ARP-Cache zu löschen (arp -d *). Ich möchte mich nicht auf diese Zeitplanaufgabe verlassen.
Hat jemand dies schon einmal gesehen oder hat er Vorschläge zur Fehlerbehebung?
quelle
arp -a
in Windows wird die Art des Eintrags in der ARP-Tabelle detailliert beschrieben. Die dynamischen Einträge werden schließlich zu statischen Einträgen, es ist kein Muster erkennbar. Der einzige Mechanismus, den ich zum Erstellen eines statischen ARP-Eintrags kenne, ist die Verwendung desarp -s ip_addr eth_addr
Antworten:
Dies kann gutartig oder bösartig sein. Hoffen wir auf Gutes: Auf Ihrem Computer läuft etwas, das glaubt, es besser zu kennen als ARP und die ARP-Tabelle "von Hand" aktualisiert. Ich vermute so etwas wie eine Firewall oder ein anderes Programm zum Schutz von Endpunkten, aber wenn Sie es wirklich nicht finden können, indem Sie überprüfen, was installiert ist, besteht Ihre einzige Möglichkeit darin, leistungsstarke Audit-Tools wie WPR / WPA oder ProcessInternals auszubrechen mach ihr Ding und binde dann die Ereignisse zurück.
Es könnte bösartig sein: Ein klassischer Man-in-the-Middle-Angriff besteht darin, einen ARP auszusenden, der behauptet, Alice zu sein, wenn Sie wirklich Bob sind: Jeder aktualisiert seinen Cache und von da an denkt jeder, der an Alice sendet, dass er mit ihr spricht wenn tatsächlich ihr Verkehr zu Bob geht. Oder (anders herum) jemand bricht in Ihre Maschine ein und richtet statische ARPs für die "falschen" Ziele ein.
Eine alte Strategie, um die erste zu besiegen, besteht übrigens darin, statische ARP-Einträge für alle lokalen Ziele einzurichten, mit denen Sie sprechen möchten. Zum zweiten ist es zu spät, wenn sich der Angreifer auf Ihrem Computer befindet.
quelle
Ich bin vor ein paar Jahren darauf gestoßen, als ich redundante Firewalls für einen Client installiert habe. Der 2003-Server wurde nach der Installation des neuen DCs in den Ruhestand versetzt. Daher habe ich eine temporäre Korrektur vorgenommen, um den Arp-Cache alle 2 Minuten zu sichern. Ich habe nur den Taskplaner verwendet, um alle paar Minuten "arp -d" auszuführen. Wenn also die Firewalls die Zuständigkeiten wechseln würden, hätte der DC immer noch Internetzugang für DNS-Dienste.
quelle