静的ARPエントリに変わる動的ARPエントリ

私は最近、サーバーの1つで奇妙なARPキャッシュの問題があるクライアントを取得しました。

最終的には動的なARPエントリを静的なARPエントリに変換し始めるサーバーがあります。このサーバーに静的なARPエントリを持つマシンがDHCP経由で新しいIPを受信すると、サーバーはクライアントと通信できないため、これにより問題が発生します。ARPキャッシュをクリアすると問題が解決し、サーバーは約1週間問題なく動作し、その後ARPエントリをゆっくりと静的ARPエントリに変換し始めます。私はそれをいつ、または何回実行するかを絞り込んでいませんが、ゆっくりと1つの静的ARP、5、10の順に表示され始めます。

問題のサーバーはWindows Server 2003 SP2です。これは、DC、DHCP、およびDNSサーバーです。DHCPスコープオプションを確認しましたが、静的ARPエントリと関係があることを示すものは何もありません。このDNSサーバーと他のDNSサーバーとの唯一の違いは、問題のあるサーバーで「更新を要求しないDHCPクライアントのDNA AおよびPTRレコードを動的に更新する」がチェックされることです。

私はこれについて少し調査しましたが、PXEタイプのサービスが実行されている場合に発生する可能性があるようです。

動的ARPエントリが静的ARPエントリに変わり始めるのを見たことがないので、少し迷っています。現在の私の解決策は、ARPキャッシュをクリアするために24時間ごとに実行されるスケジュールタスクです（arp -d *）。このスケジュールタスクに依存しないでください。

これを以前に見た人や、これをトラブルシューティングする方法について何か提案はありますか？

これは良性または悪性の可能性があります。害のないものを期待しましょう。ARPよりもよく知っていると考え、ARPテーブルを「手動で」更新していると思われるものがマシン上で実行されています。ファイアウォールやその他のエンドポイント保護タイプのプログラムのようなものを疑っていますが、何がインストールされているかを確認してもそれを追跡できない場合は、WPR / WPAやProcessInternalsなどの強力な監査ツールを利用するしかありません。彼らのことをして、イベントを結びつけます。

それは悪質かもしれません：古典的なman-in-the-middle攻撃は、あなたが本当にボブであるときに、アリスであると主張するARPを送信することです：誰もがキャッシュを更新し、それ以降、アリスに送信する誰もがアリスと話していると思います実際に彼らのトラフィックがボブに行くとき。または、（別の方法で）誰かがマシンに侵入して、静的なARPを「間違った」ターゲットに設定します。

最初のbtwを無効にするための古い戦略は、通信するすべてのローカルターゲットの静的ARPエントリを設定することです。もう1つは、攻撃者があなたのマシンにいる場合、それは遅すぎます。

数年前にクライアントに冗長ファイアウォールをインストールしたときにこれに遭遇しました。彼らの2003サーバーは、新しいDCがインストールされるとすぐに廃止されるように設定されていたため、2分ごとにarpキャッシュをダンプするための一時的な修正を行いました。私はタスクスケジューラを使用して「arp -d」を数分ごとに実行したので、ファイアウォールが責任を切り替えた場合でも、DCは引き続きDNSサービスにインターネットアクセスできます。