รายการ ARP แบบไดนามิกเปลี่ยนเป็นรายการ ARP แบบคงที่

ฉันเพิ่งซื้อไคลเอนต์ที่มีปัญหาการแคช ARP ที่แปลกประหลาดบนเซิร์ฟเวอร์ตัวใดตัวหนึ่งของพวกเขา

ฉันมีเซิร์ฟเวอร์ที่ในที่สุดจะเริ่มเปลี่ยนเป็นรายการ ARP แบบไดนามิกเป็นรายการ ARP แบบคงที่ สิ่งนี้ทำให้เกิดปัญหาเนื่องจากเมื่อเครื่องที่มีรายการ ARP แบบคงที่บนเซิร์ฟเวอร์นี้ได้รับ IP ใหม่ผ่าน DHCP แสดงว่าเซิร์ฟเวอร์ไม่สามารถสื่อสารกับลูกค้าได้ การล้างแคช ARP ช่วยแก้ไขปัญหาและเซิร์ฟเวอร์ใช้ได้ประมาณหนึ่งสัปดาห์จากนั้นจะเริ่มค่อยๆเปลี่ยนรายการ ARP เป็นรายการ ARP แบบคงที่ ฉันไม่ได้ จำกัด ให้แคบลงว่าจะเริ่มเมื่อไหร่หรือเริ่มกี่ครั้ง แต่ช้าคุณจะเริ่มเห็น 1 ARP คงที่จากนั้น 5 และ 10

เซิร์ฟเวอร์ที่สงสัยคือ Windows Server 2003 SP2 มันเป็นเซิร์ฟเวอร์ DC, DHCP และ DNS ฉันได้ตรวจสอบตัวเลือกขอบเขต DHCP และไม่มีอะไรในนั้นที่จะบ่งบอกถึงสิ่งที่จะทำกับรายการ ARP คงที่ สิ่งเดียวที่แตกต่างกันระหว่างเซิร์ฟเวอร์ DNS นี้กับเซิร์ฟเวอร์ DNS อื่นของเราคือการตรวจสอบ 'การอัพเดท DNA A และ PTR แบบไดนามิกสำหรับไคลเอนต์ DHCP ที่ไม่ได้ร้องขอการอัพเดต' ถูกตรวจสอบบนเซิร์ฟเวอร์ที่มีปัญหา

ฉันได้ทำการค้นคว้าเกี่ยวกับเรื่องนี้แล้วและดูเหมือนว่าสิ่งนี้อาจเกิดขึ้นได้หากบริการประเภท PXE กำลังทำงานจากสิ่งที่ฉันสามารถบอกได้ว่าไม่มีอะไรที่ใช้เซิร์ฟเวอร์ PXE

ฉันหายไปเล็กน้อยเนื่องจากฉันไม่เคยเห็นรายการ ARP แบบไดนามิกเริ่มเปลี่ยนเป็นรายการ ARP แบบคงที่ ตอนนี้โซลูชันของฉันคืองานกำหนดเวลาที่ทำงานทุก 24 ชั่วโมงเพื่อล้างแคช ARP (arp -d *) ฉันไม่ต้องการพึ่งพากำหนดการนี้

มีใครเห็นสิ่งนี้มาก่อนหรือมีข้อเสนอแนะเกี่ยวกับวิธีการแก้ไขปัญหานี้หรือไม่?

windows-server-2003 arp

— ซัค
แหล่งที่มา

คุณจะกำหนดว่ารายการ ARP เหล่านี้เป็นแบบคงที่ได้อย่างไร นอกจากนี้บริการ DC, DHCP และ DNS ไม่เกี่ยวข้องโดยตรงกับฟังก์ชั่นของ ARP หรือตาราง ARP โดยตรง

— joeqwerty

รายการ ARP ไม่คงอยู่เพียงระยะเวลาที่ จำกัด ก่อนที่จะหมดเวลา (20 นาทีหรือไม่) หรือแทนที่เมื่อมีการค้นพบธุรกรรมสำหรับ IP เดียวกัน

— mdpc

@mdpc ใช่เว้นแต่พวกเขาจะคงที่ซึ่งเป็นสิ่งที่ OP กำลังมีปัญหา

— fukawi2

@joeqwerty - การใช้งานarp -aใน Windows จะแสดงรายละเอียดประเภทของรายการในตาราง ARP รายการแบบไดนามิกในที่สุดจะเปลี่ยนเป็นรายการแบบคงที่ไม่มีรูปแบบที่มองเห็นได้ กลไกเดียวที่ฉันรู้เกี่ยวกับวิธีการสร้างรายการ ARP แบบคงที่คือการใช้arp -s ip_addr eth_addr

— แซค

@Zach - Gotcha ฉันต้องการให้แน่ใจว่านั่นคือสิ่งที่คุณเห็นพวกเขา ที่กล่าวว่าฉันไม่เคยเห็นอาการเหล่านั้นมาก่อน นี่เป็นรายการสแตติกสำหรับที่อยู่ RFC 1918 (คลาส A, B และ C) และไม่ใช่ที่อยู่มัลติคาสต์ (คลาส D) ใช่ไหม?

— joeqwerty

คำตอบ:

สิ่งนี้อาจเป็นอันตรายหรือเป็นอันตราย หวังว่าจะมีความเมตตา: มีบางสิ่งที่ทำงานบนเครื่องของคุณที่คิดว่ามันรู้ดีกว่า ARP และกำลังอัปเดตตาราง ARP "ด้วยมือ" ฉันสงสัยบางอย่างเช่นไฟร์วอลล์หรือโปรแกรมป้องกันปลายทางอื่น ๆ แต่ถ้าคุณไม่สามารถติดตามได้โดยการตรวจสอบสิ่งที่ติดตั้งแล้วการขอความช่วยเหลือเพียงอย่างเดียวของคุณคือการแยกเครื่องมือตรวจสอบงานหนักเช่น WPR / WPA หรือ ProcessInternals ทำสิ่งที่พวกเขาแล้วผูกเหตุการณ์กลับ

มันอาจเป็นอันตรายได้: การโจมตีแบบคนกลาง --- กลางแบบคลาสสิคคือการส่ง ARP ที่อ้างว่าเป็นอลิซเมื่อคุณเป็นบ็อบจริง ๆ : ทุกคนอัปเดตแคชและทุกคนที่ส่งไปยังอลิซคิดว่าพวกเขากำลังคุยกับเธอ เมื่อจริงแล้วการรับส่งข้อมูลของพวกเขากำลังไปที่บ็อบ หรือบางคนบุกเข้าไปในเครื่องของคุณและตั้งค่า ARP แบบคงที่ให้กับเป้าหมายที่ "ผิด"

กลยุทธ์เก่าสำหรับการเอาชนะ btw แรกคือการตั้งค่ารายการ ARP แบบคงที่สำหรับเป้าหมายในพื้นที่ทั้งหมดที่คุณต้องการคุยด้วย สำหรับผู้ที่สองถ้าผู้โจมตีอยู่ในเครื่องของคุณมันก็สายเกินไป

— AlwaysLearning
แหล่งที่มา

ฉันพบปัญหานี้เมื่อสองสามปีก่อนเมื่อฉันติดตั้งไฟร์วอลล์ซ้ำซ้อนสำหรับลูกค้า เซิร์ฟเวอร์ 2003 ของพวกเขาถูก slotted ให้ยกเลิกเมื่อติดตั้ง DC ใหม่ดังนั้นฉันจึงใส่การแก้ไขชั่วคราวเพื่อทิ้งแคช arp ทุก 2 นาที ฉันเพิ่งใช้ตัวกำหนดเวลางานเพื่อเรียกใช้ "arp -d" ทุกสองนาทีดังนั้นหากไฟร์วอลล์เปลี่ยนความรับผิดชอบ DC จะยังคงสามารถเข้าถึงอินเทอร์เน็ตสำหรับบริการ DNS

— คนส่งนม
แหล่งที่มา