Statik ARP girişlerine dönüşen Dinamik ARP Girişleri

9

Son zamanlarda sunucularından birinde garip bir ARP önbellek sorunu olan bir istemci aldım.

Sonunda statik ARP girişleri dinamik ARP girişleri dönüm başlayacak bir sunucu var. Bu sunucuda statik ARP girişleri olan makine DHCP aracılığıyla yeni bir IP aldığında, sunucu istemcilerle iletişim kuramadığı için sorunlara neden olur. ARP önbelleğini temizlemek sorunu çözer ve sunucu yaklaşık bir hafta boyunca iyidir ve daha sonra yavaş yavaş ARP girişlerini statik ARP girişlerine dönüştürmeye başlar. Ne zaman veya ne kadar yapmaya başladığını daraltmadım, ancak yavaşça 1 statik ARP ve sonra 5 ve sonra 10 görmeye başlıyorsunuz.

Söz konusu sunucu bir Windows Server 2003 SP2'dir. Bir DC, DHCP ve DNS sunucusudur. DHCP kapsam seçeneklerini kontrol ettim ve orada statik ARP girişleriyle ilgili bir şey belirten hiçbir şey yok. Bu DNS sunucusu ile diğer DNS sunucumuz arasındaki tek şey, sorunlu sunucuda 'Güncelleme istemeyen DHCP istemcileri için DNA A ve PTR kayıtlarını Dinamik Olarak Güncelle' seçeneğinin işaretlenmiş olmasıdır.

Bu konuda biraz araştırma yaptım ve herhangi bir PXE tipi hizmet çalışıyorsa, bu söyleyebilirim, bir PXE sunucusu çalıştıran hiçbir şey olabilir gibi görünüyor.

Dinamik ARP girişlerinin statik ARP girişlerine dönüşmeye başladığını hiç görmediğim için biraz kayboldum. Şu anda benim çözümüm ARP önbelleğini (arp -d *) temizlemek için 24 saatte bir çalışan bir zamanlama görevidir. Bu zamanlama görevine güvenmek istemiyorum.

Bunu daha önce gören veya bu sorunu nasıl giderebileceğiniz konusunda herhangi bir öneriniz var mı?

windows-server-2003  arp 
Zach
kaynak
3
Bu ARP girişlerinin statik olduğunu nasıl belirliyorsunuz? Ayrıca, DC, DHCP ve DNS servislerinin ARP veya ARP tablosunun işlevleri ile doğrudan bir ilgisi yoktur.
joeqwerty
ARP girdileri zaman aşımına uğramadan (20 dakika?) Veya aynı IP için bir işlem bulunduğunda değiştirilmeden önce yalnızca sınırlı bir süre boyunca saklanmaz.
mdpc
@mdpc Evet, statik olmadıkları sürece, OP'nin sorunlarının olduğu budur.
fukawi2
@joeqwerty - arp -aWindows'ta kullanıldığında ARP tablosundaki giriş türü ayrıntılı olarak açıklanır . Dinamik girişler nihayetinde statik girişlere dönüşür, bunun için ayırt edilebilir bir model yoktur. Statik ARP girişi oluşturmayı bildiğim tek mekanizmaarp -s ip_addr eth_addr
Zach
@Zach - Yakaladım. Onları gördüğünüz yerde olduğundan emin olmak istedim. Bu belirtileri daha önce hiç görmedim dedi. Bunlar çok noktaya yayın adresleri (D sınıfı) değil, RFC 1918 adresleri (A, B ve C sınıfları) için statik girdiler değil mi?
joeqwerty

Yanıtlar:

0

Bu iyi huylu veya kötü huylu olabilir. İyi huylu olmasını umalım: makinenizde ARP'den daha iyi bildiğini düşünen ve ARP tablosunu "elle" güncelleyen bir şey var. Güvenlik duvarı veya başka bir uç nokta koruma türü program gibi bir şey olduğundan şüpheleniyorum, ancak yüklü olanları gözden geçirerek gerçekten izleyemiyorsanız, tek başvurunuz WPR / WPA veya ProcessInternals gibi ağır denetim araçlarını kırmaktır. şeylerini yapın ve sonra olayları geri bağlayın.

Kötü huylu olabilir: klasik bir ortadaki adam saldırısı, gerçekten Bob olduğunuzda Alice olduğunu iddia eden bir ARP göndermektir: herkes önbelleklerini günceller ve bundan sonra Alice'e gönderen herkes onunla konuştuğunu düşünür aslında trafiği Bob'a giderken. Veya (başka bir yolla) birileri makinenize girer ve "yanlış" hedeflere statik ARP'ler ayarlar.

İlki, btw'yi yenmek için eski bir strateji, konuşmak istediğiniz tüm yerel hedefler için statik ARP girişleri oluşturmaktır. İkincisi, eğer saldırgan makinenizdeyse, çok geç.

Her zaman öğrenme
kaynak
0

Bunu birkaç yıl önce bir istemci için yedekli güvenlik duvarları kurduğumda karşılaştım. Yeni DC kurulduktan sonra 2003 sunucuları kullanımdan kaldırıldı, bu yüzden her 2 dakikada bir arp önbelleğini boşaltmak için geçici bir düzeltme koydum. Güvenlik duvarları sorumlulukları değiştirdiyse DC'nin dns hizmetleri için hala İnternet erişimine sahip olacağı için görev zamanlayıcıyı her birkaç dakikada bir "arp -d" çalıştırmak için kullandım.

sütçü
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.