ARP
Was ist ARP?
ARPSicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden konnen.
Das Address Resolution Protocol nach RFC 826 arbeitet an der Grenze zwischen Sicherungs- und Netzwerkschicht. Will ein Host ein IPv4-Paket im eigenen Subnetz zustellen, sendet er einen ARP-Request per Broadcast ("Wer hat 192.168.1.1?") und der Inhaber antwortet mit seiner MAC-Adresse. Die Zuordnung wird in der ARP-Tabelle gecacht. ARP kennt keine Authentifizierung, sodass jeder Host im Segment antworten oder unaufgeforderte (Gratuitous) Antworten senden kann. Dies ermoglicht ARP-Spoofing bzw. ARP-Poisoning, das Datenverkehr uber einen Angreifer umleitet. IPv6 ersetzt ARP durch Neighbor Discovery (ICMPv6, RFC 4861), das mit SEND kryptografischen Schutz unterstutzt.
● Beispiele
- 01
Wireshark zeigt ARP-Requests und -Replies, wenn ein Rechner startet und die MAC des Default-Gateways lernt.
- 02
Ein Angreifer sendet Gratuitous-ARP-Replies fur die Gateway-IP und leitet so den LAN-Verkehr um.
● Häufige Fragen
Was ist ARP?
Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden konnen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet ARP?
Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden konnen.
Wie funktioniert ARP?
Das Address Resolution Protocol nach RFC 826 arbeitet an der Grenze zwischen Sicherungs- und Netzwerkschicht. Will ein Host ein IPv4-Paket im eigenen Subnetz zustellen, sendet er einen ARP-Request per Broadcast ("Wer hat 192.168.1.1?") und der Inhaber antwortet mit seiner MAC-Adresse. Die Zuordnung wird in der ARP-Tabelle gecacht. ARP kennt keine Authentifizierung, sodass jeder Host im Segment antworten oder unaufgeforderte (Gratuitous) Antworten senden kann. Dies ermoglicht ARP-Spoofing bzw. ARP-Poisoning, das Datenverkehr uber einen Angreifer umleitet. IPv6 ersetzt ARP durch Neighbor Discovery (ICMPv6, RFC 4861), das mit SEND kryptografischen Schutz unterstutzt.
Wie schützt man sich gegen ARP?
Schutzmaßnahmen gegen ARP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für ARP?
Übliche alternative Bezeichnungen: Adressauflosungsprotokoll.
● Verwandte Begriffe
- attacks№ 062
ARP-Spoofing
Angriff im lokalen Netz, der gefälschte ARP-Nachrichten verschickt, um die MAC-Adresse des Angreifers an die IP eines anderen Hosts zu binden und Datenverkehr umzuleiten.
- network-security№ 637
MAC-Adresse
48-Bit-Hardwarekennung (IEEE 802), die in eine Netzwerkschnittstelle gebrannt ist und der Zustellung innerhalb eines Sicherungsschicht-Segments dient.
- network-security№ 553
IP-Adresse
Numerische Kennung einer Netzwerkschnittstelle fur das Routing in IP-Netzen: 32 Bit bei IPv4 (RFC 791) oder 128 Bit bei IPv6 (RFC 8200).
- network-security№ 1113
Subnetz
Zusammenhangender IP-Adressbereich mit gemeinsamem Prafix, der eine einzelne Broadcast-Domane und Routing-Grenze im Netz definiert.
- network-security№ 1206
VLAN
Ein virtuelles LAN (IEEE 802.1Q) gruppiert Switch-Ports in getrennte Broadcast-Domanen, indem Ethernet-Frames mit einer 12-Bit-VLAN-ID getaggt werden.
- network-security№ 508
ICMP
Steuer- und Diagnoseprotokoll der Netzwerkschicht (RFC 792 fur IPv4, RFC 4443 fur IPv6), mit dem Hosts und Router Fehler melden und Pfadzustande signalisieren.
● Siehe auch
- № 311DHCP