Các mục ARP động chuyển thành các mục ARP tĩnh

Gần đây tôi đã có được một ứng dụng khách có vấn đề bộ đệm ARP lạ trên một trong những máy chủ của họ.

Tôi có một máy chủ cuối cùng sẽ bắt đầu biến các mục ARP động của nó thành các mục ARP tĩnh. Điều này gây ra sự cố vì khi máy có mục ARP tĩnh trên máy chủ này nhận IP mới qua DHCP, thì máy chủ không thể giao tiếp với máy khách. Xóa bộ đệm ARP giải quyết vấn đề và máy chủ sẽ ổn trong khoảng một tuần và sau đó nó bắt đầu từ từ biến các mục ARP thành các mục ARP tĩnh. Tôi đã không thu hẹp nó xuống khi nào hoặc bao nhiêu nó bắt đầu làm, nhưng dần dần bạn bắt đầu thấy 1 ARP tĩnh và sau đó 5 rồi 10.

Máy chủ được đề cập là Windows Server 2003 SP2. Nó là một máy chủ DC, DHCP và DNS. Tôi đã kiểm tra các tùy chọn phạm vi DHCP và không có gì trong đó có thể chỉ ra bất cứ điều gì để làm với các mục ARP tĩnh. Điều khác biệt duy nhất giữa máy chủ DNS này và máy chủ DNS khác của chúng tôi là 'Cập nhật tự động các bản ghi DNA A và PTR cho các máy khách DHCP không yêu cầu cập nhật' được kiểm tra trên máy chủ có vấn đề.

Tôi đã thực hiện một chút nghiên cứu về điều này và dường như điều này có thể xảy ra nếu bất kỳ dịch vụ loại PXE nào đang chạy, từ những gì tôi có thể nói, không có gì chạy máy chủ PXE.

Tôi hơi lạc lõng vì tôi chưa bao giờ thấy các mục ARP động bắt đầu chuyển thành các mục ARP tĩnh. Ngay bây giờ giải pháp của tôi là một tác vụ lịch biểu chạy cứ sau 24 giờ để xóa bộ đệm ARP (arp -d *). Tôi muốn không dựa vào nhiệm vụ lịch trình này.

Có ai nhìn thấy điều này trước đây hoặc có bất kỳ đề xuất về cách khắc phục sự cố này?

Điều này có thể là lành tính, hoặc ác tính. Hãy hy vọng cho sự lành tính: có một cái gì đó đang chạy trên máy của bạn nghĩ rằng nó biết rõ hơn ARP và đang cập nhật bảng ARP "bằng tay". Tôi nghi ngờ một cái gì đó giống như tường lửa hoặc loại chương trình bảo vệ điểm cuối khác, nhưng nếu bạn thực sự không thể theo dõi nó bằng cách xem lại những gì đã cài đặt thì cách duy nhất của bạn là phá vỡ các công cụ kiểm toán hạng nặng như WPR / WPA hoặc ProcessIternals, hãy để chúng làm điều của họ, và sau đó buộc các sự kiện trở lại.

Nó có thể là ác ý: một cuộc tấn công trung gian kinh điển là gửi một ARP tự xưng là Alice khi bạn thực sự là Bob: mọi người cập nhật bộ nhớ cache của họ và từ đó mọi người gửi cho Alice đều nghĩ rằng họ đang nói chuyện với cô ấy trong thực tế, lưu lượng truy cập của họ sẽ đến Bob. Hoặc (một cách khác) ai đó đột nhập vào máy của bạn và thiết lập ARP tĩnh cho các mục tiêu "sai".

Một chiến lược cũ để đánh bại người đầu tiên, btw, là thiết lập các mục ARP tĩnh cho tất cả các mục tiêu cục bộ mà bạn muốn nói chuyện. Lần thứ hai, nếu kẻ tấn công vào máy của bạn thì đã quá muộn.

Tôi đã gặp phải điều này một vài năm trước khi tôi cài đặt tường lửa dự phòng cho một khách hàng. Máy chủ năm 2003 của họ dự kiến ​​sẽ ngừng hoạt động sau khi DC mới được cài đặt, vì vậy tôi đã khắc phục tạm thời để xóa bộ đệm arp cứ sau 2 phút. Tôi chỉ sử dụng bộ lập lịch tác vụ để chạy "arp -d" cứ sau vài phút, vì vậy nếu tường lửa chuyển trách nhiệm, DC vẫn sẽ có quyền truy cập Internet cho các dịch vụ dns.