Entradas ARP dinámicas que se convierten en entradas ARP estáticas

Recientemente adquirí un cliente que tiene un extraño problema de almacenamiento en caché ARP en uno de sus servidores.

Tengo un servidor que eventualmente comenzará a convertir sus entradas ARP dinámicas en entradas ARP estáticas. Esto causa problemas porque cuando la máquina que tiene entradas ARP estáticas en este servidor recibe una nueva IP a través de DHCP, entonces el servidor no puede comunicarse con los clientes. Borrar el caché ARP resuelve el problema y el servidor está bien durante aproximadamente una semana y luego comienza a convertir lentamente las entradas ARP en entradas ARP estáticas. No lo he reducido a cuándo o cuánto comienza a hacer, pero lentamente comienza a ver 1 ARP estático y luego 5 y luego 10.

El servidor en cuestión es un Windows Server 2003 SP2. Es un servidor DC, DHCP y DNS. Revisé las opciones de alcance de DHCP y no hay nada allí que indique algo que ver con las entradas ARP estáticas. Lo único diferente entre este servidor DNS y nuestro otro servidor DNS es que la opción "Actualizar dinámicamente los registros de ADN A y PTR para clientes DHCP que no solicitan actualizaciones" está marcada en el servidor problemático.

He investigado un poco sobre esto y parece que esto puede suceder si se están ejecutando servicios de tipo PXE, por lo que puedo decir, no hay nada que ejecute un servidor PXE.

Estoy un poco perdido ya que nunca he visto que las entradas ARP dinámicas comiencen a convertirse en entradas ARP estáticas. En este momento, mi solución es una tarea de programación que se ejecuta cada 24 horas para borrar el caché ARP (arp -d *). Me gustaría no confiar en esta tarea programada.

¿Alguien ha visto esto antes o tiene alguna sugerencia sobre cómo solucionar este problema?

Esto podría ser benigno o maligno. Esperemos benigno: hay algo en ejecución en su máquina que cree que sabe mejor que ARP y está actualizando la tabla ARP "a mano". Sospecho que hay algo así como un firewall u otro tipo de programa de protección de punto final, pero si realmente no puede rastrearlo revisando lo que está instalado, entonces su único recurso es romper herramientas de auditoría pesadas como WPR / WPA o ProcessInternals, déjelos hacer lo suyo y luego atar los eventos.

Podría ser maligno: un ataque clásico de hombre en el medio es enviar un ARP que dice ser Alice cuando realmente eres Bob: todos actualizan su caché y, a partir de ese momento, todos los que envían a Alice piensan que están hablando con ella. cuando de hecho su tráfico va a Bob. O (de otra manera) alguien irrumpe en su máquina y configura ARP estáticos para los objetivos "incorrectos".

Una vieja estrategia para derrotar al primero, por cierto, es configurar entradas ARP estáticas para todos los objetivos locales con los que desea hablar. Para el segundo, bueno, si el atacante está en tu máquina, es demasiado tarde.

Me encontré con esto hace un par de años cuando instalé firewalls redundantes para un cliente. Su servidor 2003 fue ranurado para ser retirado una vez que se instaló el nuevo DC, por lo que puse una solución temporal para volcar el caché de arp cada 2 minutos. Simplemente utilicé el programador de tareas para ejecutar "arp -d" cada dos minutos, de modo que si los firewalls cambiaran sus responsabilidades, el DC aún tendría acceso a Internet para los servicios dns.