최근에 해당 서버 중 하나에서 이상한 ARP 캐싱 문제가있는 클라이언트를 구입했습니다.
동적 ARP 항목을 정적 ARP 항목으로 바꾸는 서버가 있습니다. 이 서버에 정적 ARP 항목이있는 시스템이 DHCP를 통해 새 IP를 수신하면 서버가 클라이언트와 통신 할 수 없기 때문에 문제가 발생합니다. ARP 캐시를 지우면 문제가 해결되고 서버는 약 일주일 정도 괜찮은 다음 ARP 항목을 정적 ARP 항목으로 천천히 전환하기 시작합니다. 나는 그것을 시작하기 시작할 때 또는 얼마나 많은 것으로 좁히지 않았지만 천천히 1 정적 ARP를 본 다음 5와 10을 보게됩니다.
해당 서버는 Windows Server 2003 SP2입니다. DC, DHCP 및 DNS 서버입니다. DHCP 범위 옵션을 확인했으며 정적 ARP 항목과 관련이있는 것은 없습니다. 이 DNS 서버와 다른 DNS 서버의 유일한 차이점은 문제가있는 서버에서 ‘업데이트를 요청하지 않는 DHCP 클라이언트에 대한 동적 업데이트 DNA A 및 PTR 레코드’를 확인한다는 것입니다.
나는 이것에 대해 약간의 연구를 해 왔으며, PXE 유형 서비스가 실행 중이라면 PXE 서버를 실행하는 것이 아무것도 없다는 것을 알 수 있습니다.
동적 ARP 항목이 정적 ARP 항목으로 바뀌기 시작한 것을 본 적이 없기 때문에 조금 잃어 버렸습니다. 현재 내 솔루션은 24 시간마다 실행되어 ARP 캐시 (arp -d *)를 지우는 예약 작업입니다. 이 일정 작업에 의존하고 싶지 않습니다.
이전에이 사람을 보았거나이 문제를 해결하는 방법에 대한 제안 사항이 있습니까?
답변
이것은 양성이거나 악성 일 수 있습니다. 양성에 대한 희망을 가지 자 : ARP보다 더 잘 알고 있다고 생각하고 ARP 테이블을 “수동으로”업데이트하는 시스템이 실행 중입니다. 방화벽이나 다른 엔드 포인트 보호 유형의 프로그램과 같은 것이 의심 스럽지만 설치된 항목을 검토하여 실제로 추적 할 수없는 경우 유일한 해결책은 WPR / WPA 또는 ProcessInternals와 같은 강력한 감사 도구를 파기하는 것입니다. 그들의 일을 한 다음, 사건들을 다시 연결하십시오.
악의적 일 수 있습니다 : 고전적인 중간자 공격은 실제로 Bob 일 때 Alice라고 주장하는 ARP를 보내는 것입니다. 모두가 캐시를 업데이트 한 다음 Alice에게 보내는 모든 사람이 자신과 이야기하고 있다고 생각합니다. 실제로 트래픽이 Bob에게 전달 될 때 또는 (다른 방법으로) 누군가가 컴퓨터에 침입하여 “잘못된”대상에 정적 ARP를 설정합니다.
첫 번째 btw를 물리 치기위한 오래된 전략은 대화하려는 모든 로컬 대상에 대해 정적 ARP 항목을 설정하는 것입니다. 두 번째로, 공격자가 컴퓨터에 있다면 너무 늦습니다.
답변
몇 년 전에 클라이언트에 중복 방화벽을 설치했을 때이 문제가 발생했습니다. 새 DC가 설치되면 2003 서버가 폐기되도록 슬롯이 지정되었으므로 2 분마다 arp 캐시를 덤프하도록 임시 수정 사항을 적용했습니다. 방금 작업 스케줄러를 사용하여 몇 분마다 “arp -d”를 실행 했으므로 방화벽이 책임을 전환 한 경우 DC는 여전히 dns 서비스에 대한 인터넷 액세스 권한을 갖습니다.