Entradas dinâmicas do ARP se transformando em entradas ARP estáticas

9

Adquiri recentemente um cliente que tem um estranho problema de armazenamento em cache do ARP em um de seus servidores.

Eu tenho um servidor que eventualmente irá começar a transformar suas entradas ARP dinâmicas em entradas ARP estáticas. Isso causa problemas porque, quando a máquina que possui entradas ARP estáticas nesse servidor recebe um novo IP via DHCP, o servidor não consegue se comunicar com os clientes. A limpeza do cache ARP resolve o problema e o servidor fica bem por cerca de uma semana e, em seguida, começa a transformar lentamente as entradas ARP em entradas ARP estáticas. Eu não reduzi a quando ou quantas começam a fazer, mas lentamente você começa a ver 1 ARP estático e, em seguida, 5 e, em seguida, 10.

O servidor em questão é um Windows Server 2003 SP2. É um servidor DC, DHCP e DNS. Eu verifiquei as opções de escopo DHCP e não há nada lá que indique qualquer coisa para fazer com entradas ARP estáticas. A única diferença entre esse servidor DNS e nosso outro servidor DNS é que os registros "Atualizar dinamicamente DNA A e PTR para clientes DHCP que não solicitam atualizações" são verificados no servidor problemático.

Eu fiz um pouco de pesquisa sobre isso e parece que isso pode acontecer se qualquer serviço do tipo PXE estiver em execução, pelo que eu posso dizer, não há nada rodando um servidor PXE.

Estou um pouco perdido, pois nunca vi entradas ARP dinâmicas começarem a se transformar em entradas ARP estáticas. No momento, minha solução é uma tarefa de agendamento que é executada a cada 24 horas para limpar o cache do ARP (arp -d *). Eu gostaria de não confiar nesta tarefa de agendamento.

Alguém já viu isso antes ou tem alguma sugestão sobre como solucionar isso?

    
por Zach 18.12.2012 / 22:29

2 respostas

0

Isso pode ser benigno ou maligno. Vamos esperar por benignidade: há algo rodando em sua máquina que acha que ela sabe melhor que ARP e está atualizando a tabela ARP "manualmente". Eu suspeito de algo como um firewall ou outro tipo de programa de proteção de endpoint, mas se você realmente não consegue rastreá-lo revisando o que está instalado, seu único recurso é usar ferramentas de auditoria para serviços pesados como WPR / WPA ou ProcessInternals. faça a coisa deles e, em seguida, ligue os eventos de volta.

Poderia ser maligno: um ataque man-in-the-middle clássico é enviar um ARP afirmando ser Alice quando você é realmente Bob: todo mundo atualiza seu cache e a partir de então todos que enviam para Alice pensam que são conversando com ela quando na verdade o tráfego deles está indo para o Bob. Ou (de outra forma) alguém invade sua máquina e configura ARPs estáticos para os alvos "errados".

Uma antiga estratégia para derrotar o primeiro, btw, é configurar entradas ARP estáticas para todos os destinos locais com os quais você deseja conversar. Para o segundo, bem, se o atacante estiver na sua máquina, é tarde demais.

    
por 23.12.2015 / 05:26
0

Eu encontrei isso alguns anos atrás quando instalei firewalls redundantes para um cliente. Seu servidor 2003 foi encaixado para ser retirado uma vez que o novo DC foi instalado, então eu coloquei uma correção temporária para despejar o cache do arp a cada 2 minutos. Acabei de usar o agendador de tarefas para executar "arp -d" a cada dois minutos, por isso, se os firewalls trocassem de responsabilidades, o DC ainda teria acesso à Internet para serviços de DNS.

    
por 29.09.2016 / 03:38