Entradas ARP dinâmicas que se transformam em entradas ARP estáticas

Recentemente, adquiri um cliente com um problema estranho de armazenamento em cache do ARP em um dos seus servidores.

Eu tenho um servidor que acabará por começar a transformar suas entradas ARP dinâmicas em entradas ARP estáticas. Isso causa problemas porque, quando a máquina que possui entradas ARP estáticas nesse servidor recebe um novo IP via DHCP, o servidor não consegue se comunicar com os clientes. A limpeza do cache do ARP resolve o problema e o servidor fica bom por cerca de uma semana e, em seguida, começa a transformar lentamente as entradas do ARP em entradas estáticas do ARP. Eu não o reduzi a quando ou quantas começa a fazer, mas lentamente você começa a ver 1 ARP estático e depois 5 e 10.

O servidor em questão é um Windows Server 2003 SP2. É um servidor DC, DHCP e DNS. Eu verifiquei as opções de escopo do DHCP e não há nada que indique algo a ver com entradas estáticas de ARP. A única coisa diferente entre este servidor DNS e nosso outro servidor DNS é que os 'Atualizar dinamicamente DNA A e registros PTR para clientes DHCP que não solicitam atualizações' são verificados no servidor problemático.

Pesquisei um pouco sobre isso e parece que isso pode acontecer se algum serviço do tipo PXE estiver em execução, pelo que posso dizer, não há nada executando um servidor PXE.

Estou um pouco perdido, pois nunca vi entradas ARP dinâmicas começarem a se transformar em entradas ARP estáticas. No momento, minha solução é uma tarefa de agendamento que é executada a cada 24 horas para limpar o cache do ARP (arp -d *). Gostaria de não confiar nessa tarefa de agendamento.

Alguém já viu isso antes ou tem alguma sugestão sobre como solucionar isso?

Isso pode ser benigno ou maligno. Vamos torcer para que seja benigno: existe algo em execução na sua máquina que pensa que conhece melhor que o ARP e está atualizando a tabela ARP "manualmente". Suspeito que algo como um firewall ou outro tipo de programa de proteção de terminal, mas se você realmente não puder rastreá-lo revisando o que está instalado, seu único recurso é interromper ferramentas de auditoria pesadas, como WPR / WPA ou ProcessInternals, deixe-as fazer as coisas deles e depois amarrar os eventos de volta.

Pode ser maligno: um ataque clássico do tipo homem do meio é enviar um ARP que afirma ser Alice quando você é realmente Bob: todo mundo atualiza seu cache e, a partir de então, todo mundo que envia para Alice pensa que está falando com ela. quando de fato o tráfego deles está indo para Bob. Ou (ao contrário) alguém invade sua máquina e configura ARPs estáticos para os alvos "errados".

Uma estratégia antiga para derrotar o primeiro, btw, é configurar entradas estáticas de ARP para todos os destinos locais com os quais você deseja conversar. No segundo, bem, se o invasor estiver na sua máquina, é tarde demais.

Eu me deparei com isso há alguns anos atrás quando instalei firewalls redundantes para um cliente. O servidor de 2003 foi bloqueado para ser retirado assim que o novo controlador de domínio foi instalado, por isso fiz uma correção temporária para despejar o cache do arp a cada 2 minutos. Eu apenas usei o agendador de tarefas para executar "arp -d" a cada dois minutos; portanto, se os firewalls trocassem de responsabilidades, o controlador de domínio ainda teria acesso à Internet para serviços de DNS.