windows-server-2003 – 动态ARP条目变为静态ARP条目

前端之家收集整理的这篇文章主要介绍了windows-server-2003 – 动态ARP条目变为静态ARP条目前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我最近收购了一个客户端,在其中一个服务器上有一个奇怪的ARP缓存问题.

我有一台服务器,最终会开始将其动态ARP条目转换为静态ARP条目.这会导致问题,因为当此服务器上具有静态ARP条目的计算机通过DHCP接收新IP时,服务器无法与客户端通信.清除ARP缓存可以解决问题,服务器可以运行大约一周,然后开始慢慢将ARP条目转换为静态ARP条目.我没有把它缩小到它开始做的时间或数量,但慢慢地你开始看到1个静态ARP然后是5然后是10个.

有问题的服务器是Windows Server 2003 SP2.它是DC,DHCP和DNS服务器.我已经检查了DHCP范围选项,并且那里没有任何内容表明与静态ARP条目有关.此DNS服务器与我们的其他DNS服务器之间唯一不同的是,在有问题的服务器上检查“动态更新不请求更新的DHCP客户端的DNA A和PTR记录”.

我已经对此进行了一些研究,似乎如果任何PXE类型的服务正在运行,可能会发生这种情况,据我所知,没有任何运行PXE服务器.

我有点迷失,因为我从未见过动态ARP条目开始变成静态ARP条目.现在我的解决方案是一个每24小时运行一次的计划任务,以清除ARP缓存(arp -d *).我不想依赖这个计划任务.

有没有人见过这个或有任何关于如何解决这个问题的建议?

这可能是良性的,也可能是恶性的.让我们希望良性:你的机器上运行的东西认为它比ARP更好,并且“手动”更新ARP表.我怀疑像防火墙或其他端点保护类型的程序,但如果你真的无法通过审查安装的内容来追踪它,那么你唯一的办法是打破WPR / WPA或ProcessInternals等重型审计工具,让他们做他们的事情,然后把事件绑起来.

这可能是恶意的:一个典型的中间人攻击是当你真的是鲍勃时发出声称是爱丽丝的ARP:每个人都更新他们的缓存,然后每个发送给Alice的人认为他们正在和她说话实际上他们的流量是去Bob的.或者(另一种方式)某人闯入您的机器并将静态ARP设置为“错误”目标.

击败第一个btw的旧策略是为要与之通话的所有本地目标设置静态ARP条目.对于第二个,好吧,如果攻击者在你的机器上,那就太晚了.

猜你在找的Windows相关文章