Entradas ARP dinámicas que se convierten en entradas ARP estáticas

9

Recientemente adquirí un cliente que tiene un extraño problema de almacenamiento en caché ARP en uno de sus servidores.

Tengo un servidor que eventualmente comenzará a convertir sus entradas ARP dinámicas en entradas ARP estáticas. Esto causa problemas porque cuando la máquina que tiene entradas ARP estáticas en este servidor recibe una nueva IP a través de DHCP, entonces el servidor no puede comunicarse con los clientes. Borrar el caché ARP resuelve el problema y el servidor está bien durante aproximadamente una semana y luego comienza a convertir lentamente las entradas ARP en entradas ARP estáticas. No lo he reducido a cuándo o cuánto comienza a hacer, pero lentamente comienza a ver 1 ARP estático y luego 5 y luego 10.

El servidor en cuestión es un Windows Server 2003 SP2. Es un servidor DC, DHCP y DNS. Revisé las opciones de alcance de DHCP y no hay nada allí que indique algo que ver con las entradas ARP estáticas. Lo único diferente entre este servidor DNS y nuestro otro servidor DNS es que la opción "Actualizar dinámicamente los registros de ADN A y PTR para clientes DHCP que no solicitan actualizaciones" está marcada en el servidor problemático.

He investigado un poco sobre esto y parece que esto puede suceder si se están ejecutando servicios de tipo PXE, por lo que puedo decir, no hay nada que ejecute un servidor PXE.

Estoy un poco perdido ya que nunca he visto que las entradas ARP dinámicas comiencen a convertirse en entradas ARP estáticas. En este momento, mi solución es una tarea de programación que se ejecuta cada 24 horas para borrar el caché ARP (arp -d *). Me gustaría no confiar en esta tarea programada.

¿Alguien ha visto esto antes o tiene alguna sugerencia sobre cómo solucionar este problema?

Zach
fuente
3
¿Cómo determina que estas entradas ARP son estáticas? Además, los servicios DC, DHCP y DNS no tienen nada que ver directamente con las funciones de ARP o la tabla ARP.
joeqwerty
Las entradas ARP no persisten solo durante un período de tiempo limitado antes de que se agote el tiempo de espera (¿20 minutos?) O se reemplacen cuando se descubre una transacción para la misma IP.
mdpc
@mdpc Sí, a menos que sean estáticos, que es con lo que el OP está teniendo problemas.
fukawi2
@joeqwerty: el uso arp -aen Windows detallará el tipo de entrada en la tabla ARP. Las entradas dinámicas eventualmente se convertirán en entradas estáticas, no hay un patrón discernible. El único mecanismo que sé sobre cómo crear una entrada ARP estática es usar elarp -s ip_addr eth_addr
Zach
@Zach - Gotcha. Quería asegurarme de que allí los veías. Dicho esto, nunca antes había visto esos síntomas. Estas son entradas estáticas para direcciones RFC 1918 (clases A, B y C) y no direcciones de multidifusión (clase D) ¿verdad?
joeqwerty

Respuestas:

0

Esto podría ser benigno o maligno. Esperemos benigno: hay algo en ejecución en su máquina que cree que sabe mejor que ARP y está actualizando la tabla ARP "a mano". Sospecho que hay algo así como un firewall u otro tipo de programa de protección de punto final, pero si realmente no puede rastrearlo revisando lo que está instalado, entonces su único recurso es romper herramientas de auditoría pesadas como WPR / WPA o ProcessInternals, déjelos hacer lo suyo y luego atar los eventos.

Podría ser maligno: un ataque clásico de hombre en el medio es enviar un ARP que dice ser Alice cuando realmente eres Bob: todos actualizan su caché y, a partir de ese momento, todos los que envían a Alice piensan que están hablando con ella. cuando de hecho su tráfico va a Bob. O (de otra manera) alguien irrumpe en su máquina y configura ARP estáticos para los objetivos "incorrectos".

Una vieja estrategia para derrotar al primero, por cierto, es configurar entradas ARP estáticas para todos los objetivos locales con los que desea hablar. Para el segundo, bueno, si el atacante está en tu máquina, es demasiado tarde.

Siempre aprendiendo
fuente
0

Me encontré con esto hace un par de años cuando instalé firewalls redundantes para un cliente. Su servidor 2003 fue ranurado para ser retirado una vez que se instaló el nuevo DC, por lo que puse una solución temporal para volcar el caché de arp cada 2 minutos. Simplemente utilicé el programador de tareas para ejecutar "arp -d" cada dos minutos, de modo que si los firewalls cambiaran sus responsabilidades, el DC aún tendría acceso a Internet para los servicios dns.

lechero
fuente