정적 ARP 항목으로 전환되는 동적 ARP 항목


9

최근에 해당 서버 중 하나에서 이상한 ARP 캐싱 문제가있는 클라이언트를 구입했습니다.

동적 ARP 항목을 정적 ARP 항목으로 바꾸는 서버가 있습니다. 이 서버에 정적 ARP 항목이있는 시스템이 DHCP를 통해 새 IP를 수신하면 서버가 클라이언트와 통신 할 수 없기 때문에 문제가 발생합니다. ARP 캐시를 지우면 문제가 해결되고 서버는 약 일주일 정도 괜찮은 다음 ARP 항목을 정적 ARP 항목으로 천천히 전환하기 시작합니다. 나는 그것을 시작하기 시작할 때 또는 얼마나 많은 것으로 좁히지 않았지만 천천히 1 정적 ARP를 본 다음 5와 10을 보게됩니다.

해당 서버는 Windows Server 2003 SP2입니다. DC, DHCP 및 DNS 서버입니다. DHCP 범위 옵션을 확인했으며 정적 ARP 항목과 관련이있는 것은 없습니다. 이 DNS 서버와 다른 DNS 서버의 유일한 차이점은 문제가있는 서버에서 '업데이트를 요청하지 않는 DHCP 클라이언트에 대한 동적 업데이트 DNA A 및 PTR 레코드'를 확인한다는 것입니다.

나는 이것에 대해 약간의 연구를 해 왔으며, PXE 유형 서비스가 실행 중이라면 PXE 서버를 실행하는 것이 아무것도 없다는 것을 알 수 있습니다.

동적 ARP 항목이 정적 ARP 항목으로 바뀌기 시작한 것을 본 적이 없기 때문에 조금 잃어 버렸습니다. 현재 내 솔루션은 24 시간마다 실행되어 ARP 캐시 (arp -d *)를 지우는 예약 작업입니다. 이 일정 작업에 의존하고 싶지 않습니다.

이전에이 사람을 보았거나이 문제를 해결하는 방법에 대한 제안 사항이 있습니까?


3
이러한 ARP 항목이 정적인지 어떻게 판단합니까? 또한 DC, DHCP 및 DNS 서비스는 ARP 또는 ARP 테이블의 기능과 직접 관련이 없습니다.
joeqwerty

ARP 항목은 동일한 IP에 대한 트랜잭션이 발견 될 때 시간 초과 (20 분) 또는 교체되기 전에 제한된 시간 동안 만 지속되지 않습니다.
mdpc

@mdpc 예. 정적 인 경우가 아니라면 OP에 문제가 있습니다.
fukawi2

@joeqwerty- arp -aWindows에서 사용하면 ARP 테이블의 항목 유형이 자세히 설명됩니다. 동적 항목은 결국 정적 항목으로 바뀌며 식별 할 수있는 패턴이 없습니다. 정적 ARP 항목을 작성하는 방법에 대해 내가 아는 유일한 메커니즘은arp -s ip_addr eth_addr
Zach

@Zach-잡았다. 나는 그것이 당신이 그들을보고있는 곳인지 확인하고 싶었습니다. 즉, 나는 그런 증상을 본 적이 없다. 이것은 멀티 캐스트 주소 (클래스 D)가 아닌 RFC 1918 주소 (클래스 A, B 및 C)에 대한 정적 항목입니까?
joeqwerty

답변:


0

이것은 양성이거나 악성 일 수 있습니다. 양성에 대한 희망을 가지 자 : ARP보다 더 잘 알고 있다고 생각하고 ARP 테이블을 "수동으로"업데이트하는 시스템이 실행 중입니다. 방화벽이나 다른 엔드 포인트 보호 유형의 프로그램과 같은 것이 의심 스럽지만 설치된 항목을 검토하여 실제로 추적 할 수없는 경우 유일한 해결책은 WPR / WPA 또는 ProcessInternals와 같은 강력한 감사 도구를 파기하는 것입니다. 그들의 일을 한 다음, 사건들을 다시 연결하십시오.

악의적 일 수 있습니다 : 고전적인 중간자 공격은 실제로 Bob 일 때 Alice라고 주장하는 ARP를 보내는 것입니다. 모두가 캐시를 업데이트 한 다음 Alice에게 보내는 모든 사람이 자신과 이야기하고 있다고 생각합니다. 실제로 트래픽이 Bob에게 전달 될 때 또는 (다른 방법으로) 누군가가 컴퓨터에 침입하여 "잘못된"대상에 정적 ARP를 설정합니다.

첫 번째 btw를 물리 치기위한 오래된 전략은 대화하려는 모든 로컬 대상에 대해 정적 ARP 항목을 설정하는 것입니다. 두 번째로, 공격자가 컴퓨터에 있다면 너무 늦습니다.


0

몇 년 전에 클라이언트에 중복 방화벽을 설치했을 때이 문제가 발생했습니다. 새 DC가 설치되면 2003 서버가 폐기되도록 슬롯이 지정되었으므로 2 분마다 arp 캐시를 덤프하도록 임시 수정 사항을 적용했습니다. 방금 작업 스케줄러를 사용하여 몇 분마다 "arp -d"를 실행 했으므로 방화벽이 책임을 전환 한 경우 DC는 여전히 dns 서비스에 대한 인터넷 액세스 권한을 갖습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.