Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 071

ARP

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist ARP?

ARPSicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden können.


Das Address Resolution Protocol ist in RFC 826 (1982) definiert und arbeitet an der Grenze zwischen Sicherungs- und Netzwerkschicht. Will ein Host ein IPv4-Paket an ein Ziel im selben Subnetz senden, sendet er einen ARP-Request per Broadcast ("Wer hat 192.168.1.1?"), und der Inhaber antwortet mit seiner MAC-Adresse. Die Zuordnung wird für spätere Frames in der ARP-Tabelle gecacht.

flowchart TD
  H[Host A will 192.168.1.1] -->|"Broadcast: Wer hat .1?"| LAN[(Broadcast-Domain)]
  LAN --> GW[Gateway .1]
  LAN --> ATK[Angreifer]
  GW -->|"Antwort: .1 ist aa:bb:cc"| H
  ATK -->|"Gratuitous-Reply: .1 ist meine MAC"| H
  H -.->|Cache vergiftet| ATK
  ATK -->|weiterleiten / mitlesen| GW

ARP kennt keine Authentifizierung, sodass jeder Host im Segment antworten oder unaufgeforderte Gratuitous-Antworten senden kann. Dies ermöglicht ARP-Spoofing bzw. ARP-Poisoning, bei dem Datenverkehr zum Mitlesen oder Manipulieren über einen Angreifer umgeleitet wird – das klassische On-Path-Primitiv (Man-in-the-Middle), automatisiert durch Werkzeuge wie arpspoof (aus dsniff), Ettercap und Bettercap. Da Antworten Cache-Einträge ohne jede Prüfung überschreiben, genügen wenige Pakete pro Sekunde, um den Hijack aufrechtzuerhalten. Verteidigungsmaßnahmen auf Managed Switches umfassen Dynamic ARP Inspection (DAI), die Antworten gegen die DHCP-Snooping-Bindungstabelle validiert, dazu statische ARP-Einträge für kritische Hosts, Port-Security und das Segmentieren von Vertrauensgrenzen mit VLANs. IPv6 verzichtet zugunsten von Neighbor Discovery (ICMPv6, RFC 4861) auf ARP; dessen SEND-Erweiterung (RFC 3971) ergänzt kryptografisch generierte Adressen, um derselben Spoofing-Klasse zu widerstehen.

Beispiele

  1. 01

    Wireshark zeigt ARP-Requests und -Replies, wenn ein Rechner startet und die MAC seines Default-Gateways lernt.

  2. 02

    Ein Angreifer sendet Gratuitous-ARP-Replies, die vorgeben, Inhaber der Gateway-IP zu sein, und leitet so den LAN-Verkehr um.

Häufige Fragen

Was ist ARP?

Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden können. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.

Was bedeutet ARP?

Sicherungsschicht-Protokoll (RFC 826), das eine IPv4-Adresse auf die MAC-Adresse eines Hosts im selben Broadcast-Domain abbildet, damit Frames zugestellt werden können.

Wie schützt man sich gegen ARP?

Schutzmaßnahmen gegen ARP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für ARP?

Übliche alternative Bezeichnungen: Adressauflösungsprotokoll.

Verwandte Begriffe

Siehe auch