Zac*_*ach 9 windows-server-2003 arp
我最近获得了一个客户端,该客户端在其中一台服务器上存在奇怪的 ARP 缓存问题。
我有一个服务器,它最终会开始将它的动态 ARP 条目转换为静态 ARP 条目。这会导致问题,因为当在此服务器上具有静态 ARP 条目的机器通过 DHCP 接收新 IP 时,服务器无法与客户端通信。清除 ARP 缓存解决了该问题,服务器可以正常运行大约一周,然后它开始慢慢将 ARP 条目转换为静态 ARP 条目。我没有将范围缩小到它开始执行的时间或数量,但慢慢地你开始看到 1 个静态 ARP,然后是 5,然后是 10。
有问题的服务器是 Windows Server 2003 SP2。它是一个 DC、DHCP 和 DNS 服务器。我已经检查了 DHCP 范围选项,那里没有任何内容表明与静态 ARP 条目有任何关系。此 DNS 服务器与我们的其他 DNS 服务器之间唯一不同的是,在有问题的服务器上检查了“不请求更新的 DHCP 客户端的动态更新 DNA A 和 PTR 记录”。
我对此进行了一些研究,似乎如果任何 PXE 类型的服务正在运行,可能会发生这种情况,据我所知,没有任何东西在运行 PXE 服务器。
我有点迷茫,因为我从未见过动态 ARP 条目开始变成静态 ARP 条目。现在我的解决方案是一个计划任务,它每 24 小时运行一次以清除 ARP 缓存(arp -d *)。我不想依赖这个计划任务。
有没有人以前见过这个或对如何解决这个问题有任何建议?
小智 0
这可能是良性的,也可能是恶性的。让我们希望是良性的:你的机器上运行着一些东西,它认为它比 ARP 更了解,并且正在“手动”更新 ARP 表。我怀疑是防火墙或其他端点保护类型的程序之类的东西,但如果您确实无法通过检查安装的内容来追踪它,那么您唯一的办法就是破解 WPR/WPA 或 ProcessInternals 等重型审核工具,让它们做他们的事,然后将事件联系起来。
这可能是恶意的:典型的中间人攻击是发送一个 ARP 声称自己是 Alice,而实际上你是 Bob:每个人都会更新他们的缓存,从那时起,每个发送给 Alice 的人都认为他们正在与她交谈事实上,他们的流量流向了鲍勃。或者(另一种方式)有人闯入您的计算机并为“错误”目标设置静态 ARP。
顺便说一句,解决第一个问题的一个旧策略是为所有要与之通信的本地目标设置静态 ARP 条目。对于第二点,如果攻击者在您的计算机上,那就太晚了。