Entri ARP dinamis berubah menjadi entri ARP Statis

Saya baru-baru ini memperoleh klien yang memiliki masalah caching ARP aneh di salah satu server mereka.

Saya memiliki server yang pada akhirnya akan mulai mengubah entri ARP dinamis menjadi entri ARP statis. Ini menyebabkan masalah karena ketika mesin yang memiliki entri ARP statis pada server ini menerima IP baru melalui DHCP, maka server tidak dapat berkomunikasi dengan klien. Mengosongkan cache ARP menyelesaikan masalah dan server baik-baik saja selama sekitar satu minggu dan kemudian mulai secara perlahan mengubah entri ARP menjadi entri ARP statis. Saya belum mempersempitnya menjadi kapan atau berapa banyak mulai melakukannya, tetapi perlahan-lahan Anda mulai melihat 1 ARP statis dan kemudian 5 dan kemudian 10.

Server yang dimaksud adalah Windows Server 2003 SP2. Ini adalah server DC, DHCP, dan DNS. Saya telah memeriksa opsi lingkup DHCP dan tidak ada di sana yang akan menunjukkan ada hubungannya dengan entri ARP statis. Satu-satunya hal yang berbeda antara server DNS ini dan server DNS kami yang lain adalah bahwa 'Perbarui DNA A dan PTR secara dinamis untuk klien DHCP yang tidak meminta pembaruan' diperiksa pada server yang bermasalah.

Saya telah melakukan sedikit riset tentang ini dan tampaknya hal ini dapat terjadi jika ada layanan tipe PXE yang berjalan, dari apa yang dapat saya katakan, tidak ada yang menjalankan server PXE.

Saya agak bingung karena saya belum pernah melihat entri ARP dinamis mulai berubah menjadi entri ARP statis. Saat ini solusi saya adalah tugas jadwal yang berjalan setiap 24 jam untuk menghapus cache ARP (arp -d *). Saya ingin tidak bergantung pada tugas jadwal ini.

Adakah yang pernah melihat ini sebelumnya atau memiliki saran tentang cara mengatasi masalah ini?

Ini bisa jinak, atau memfitnah. Mari kita berharap untuk jinak: ada sesuatu yang berjalan pada mesin Anda yang berpikir itu lebih baik daripada ARP dan memperbarui tabel ARP "dengan tangan". Saya menduga sesuatu seperti firewall atau jenis program perlindungan titik akhir lainnya, tetapi jika Anda benar-benar tidak dapat melacaknya dengan meninjau apa yang diinstal maka satu-satunya jalan Anda adalah untuk mengeluarkan alat audit tugas berat seperti WPR / WPA atau ProcessInternals, biarkan mereka lakukan hal mereka, dan kemudian ikat kembali peristiwa tersebut.

Bisa jadi memfitnah: serangan pria-di-tengah-klasik adalah mengirim ARP yang mengaku sebagai Alice ketika Anda benar-benar Bob: semua orang memperbarui cache mereka dan sejak saat itu semua orang yang mengirim ke Alice berpikir mereka berbicara dengannya padahal lalu lintas mereka menuju Bob. Atau (dengan cara lain) seseorang membobol mesin Anda dan mengatur ARP statis ke target "salah".

Strategi lama untuk mengalahkan yang pertama, btw, adalah mengatur entri ARP statis untuk semua target lokal yang ingin Anda ajak bicara. Untuk yang kedua, yah, jika penyerang ada di mesin Anda, sudah terlambat.

Saya mengalami ini beberapa tahun yang lalu ketika saya menginstal firewall yang berlebihan untuk klien. Server 2003 mereka ditempatkan untuk pensiun setelah DC baru diinstal, jadi saya melakukan perbaikan sementara untuk membuang cache arp setiap 2 menit. Saya hanya menggunakan penjadwal tugas untuk menjalankan "arp -d" setiap beberapa menit jadi jika firewall mengalihkan tanggung jawab DC masih akan memiliki akses Internet untuk layanan dns.