动态ARP条目变为静态ARP条目

我最近获得了一个客户端，该客户端在其中一台服务器上有一个奇怪的ARP缓存问题。

我有一台最终将开始将其动态ARP条目转换为静态ARP条目的服务器。这会引起问题，因为当在此服务器上具有静态ARP条目的计算机通过DHCP接收到新IP时，服务器将无法与客户端进行通信。清除ARP缓存可以解决该问题，并且服务器可以正常运行约一周，然后开始将ARP条目缓慢转换为静态ARP条目。我没有将其范围缩小到何时开始执行或开始执行多少次，但是慢慢地，您开始看到1个静态ARP，然后是5个，然后是10个。

有问题的服务器是Windows Server 2003 SP2。它是DC，DHCP和DNS服务器。我已经检查了DHCP作用域选项，其中没有任何内容表明与静态ARP条目有关。此DNS服务器与我们的其他DNS服务器之间的唯一区别是，在有问题的服务器上检查了“为不请求更新的DHCP客户端动态更新DNA A和PTR记录”。

我已经对此进行了一些研究，并且看来，如果正在运行任何PXE类型服务，则可能会发生这种情况，据我所知，没有任何东西可以运行PXE服务器。

我有点迷失了，因为我从未见过动态ARP条目开始转变为静态ARP条目。现在，我的解决方案是一个计划任务，该任务每24小时运行一次以清除ARP缓存（arp -d *）。我不想依赖此计划任务。

有人以前看过这个吗，或者对如何解决这个问题有任何建议？

这可能是良性的，也可能是恶性的。让我们希望它是良性的：您的计算机上正在运行某些东西，认为它比ARP更了解，并且正在“手动”更新ARP表。我怀疑类似防火墙或其他端点保护类型的程序，但是如果您真的无法通过查看已安装的程序来对其进行跟踪，那么您唯一的解决方法就是打破诸如WPR / WPA或ProcessInternals之类的重型审核工具。做他们的事情，然后将事件重新绑定。

这可能是恶性的：一种典型的中间人攻击是在您真正是鲍勃的时候发出一个自称是爱丽丝的ARP：每个人都更新其缓存，从那时起，每个发送给爱丽丝的人都认为他们在和她说话实际上，他们的流量将流向Bob。或者（另一种方法）有人闯入您的计算机并为“错误”目标设置了静态ARP。

克服第一个缺点的一种旧策略是为要与之通信的所有本地目标设置静态ARP条目。第二，如果攻击者在您的计算机上，那就太迟了。

几年前，当我为客户端安装冗余防火墙时遇到了这种情况。一旦安装了新的DC，他们2003年的服务器就准备退休了，所以我做了一个临时修正，每2分钟转储一次arp缓存。我只是使用任务计划程序每两分钟运行一次“ arp -d”，因此，如果防火墙切换了职责，则DC仍然可以访问dns服务的Internet。