Was ist ARP? Protokolldefinition und Funktionsweise

Jedes Mal, wenn Du eine Website öffnest, ein Video streamst oder eine Datei über Dein lokales Netzwerk verschickst, sorgt im Hintergrund etwas dafür, dass Deine Daten das richtige Gerät erreichen. Oft ist es ARP.

Das Address Resolution Protocol (ARP) arbeitet im Hintergrund lokaler Netzwerke und übersetzt IP-Adressen in physische Geräteadressen, damit die Daten genau wissen, wohin sie gehen müssen. Ohne ARP wüssten Geräte im selben Netzwerk nicht, wie sie einander finden können. In diesem Leitfaden erfährst du, wie ARP funktioniert, welche Rolle es im Netzwerk spielt und warum es auch zum Ziel bestimmter Angriffsarten werden kann.

Was ist ARP und wie funktioniert es?

Ein Flussdiagramm, das vier Laptops zeigt, die Teil eines Netzwerks sind, mit einem Netzwerk-Switch in der Mitte. Der Laptop auf der linken Seite sendet eine ARP-Anfrage, um die MAC-Adresse des Laptops auf der rechten Seite abzufragen, der diese dann zurücksendet.

ARP ist ein Protokoll, das Geräten dabei hilft, sich in einem lokalen Netzwerk gegenseitig zu finden. Dazu verknüpft es die IP-Adresse eines Geräts mit dessen MAC-Adresse (Media Access Control). Die MAC-Adresse ist eine eindeutige Nummer, die die Hardware des Geräts identifiziert.

Wenn sich ein Gerät einem Netzwerk anschließt, kommuniziert es auf der Datenverbindungsschicht über seine MAC-Adresse. Erhält es eine IP-Adresse über DHCP, können andere Geräte diese im Laufe der Zeit erfahren. Möchte ein Gerät jedoch Daten an eine bestimmte IP-Adresse im lokalen Netzwerk senden, muss es die zugehörige MAC-Adresse kennen. Hier kommt ARP ins Spiel.

Stell Dir vor, Du sendest eine Datei von einem Laptop an einen Drucker. Der Laptop kennt die IP-Adresse des Druckers bereits, da sie ihm vom Netzwerk zugewiesen wurde. Bevor er die Datei übermitteln kann, benötigt er jedoch noch die MAC-Adresse des Druckers. ARP hilft dem Laptop dabei, diese Hardware-Adresse zu ermitteln.

Um zu verstehen, wie ARP in der Praxis funktioniert, stell Dir zwei Netzwerkgeräte vor. Gerät A und Gerät B. So würden sie das ARP-Protokoll nutzen:

  1. Gerät A überprüft seinen ARP-Cache auf die angeforderte MAC-Adresse. Das ist eine kleine interne Liste, die Gerät A mitteilt, ob es eine passende MAC-Adresse für die IP-Adresse von Gerät B gibt. Ist die MAC-Adresse vorhanden, beginnen die Geräte zu kommunizieren. ARP-Cache-Einträge verfallen nach einer kurzen Zeitspanne, dem sogenannten ARP-Cache-Timeout. Dieser regelt, wie lange ein Gerät eine IP-zu-MAC-Zuordnung speichert.
  2. Wenn der Cache die MAC-Daten nicht enthält, erstellt Gerät A eine ARP-Anfrage. Das ist eine Nachricht, die die IP- und MAC-Adressen von Gerät A sowie die IP-Adresse von Gerät B enthält (das Feld für die MAC-Adresse bleibt leer).
  3. Gerät A sendet seine ARP-Anfrage im Rundfunk. Es sendet sie über das gesamte LAN, sodass jedes damit verbundene Gerät die Nachricht empfängt.
  4. Die LAN-Geräte prüfen die ARP-Anfrage. Da die IP-Adresse von Gerät B mit dem Inhalt der Nachricht übereinstimmt, verarbeitet es die Anfrage. Alle anderen Geräte ignorieren sie.
  5. Gerät B erstellt eine ARP-Antwort. Das ist eine Nachricht, die seine IP- und MAC-Adressen enthält. Sobald die Antwort fertig ist, wird sie an Gerät A gesendet.
  6. Gerät A aktualisiert seinen ARP-Cache und fügt die MAC-Adresse von Gerät B hinzu. Dadurch kann es beginnen, Datenpakete an Gerät B zu senden.

Welche Informationen enthält eine ARP-Nachricht?

Wenn ein Gerät eine ARP-Nachricht erstellt, fügt es Folgendes hinzu:

ARP-NachrichtenfelderErklärung
HardwaretypDer Typ der Netzwerkhardware, die zum Senden der Nachricht verwendet wird. ARP funktioniert in vielen verschiedenen Netzwerktypen, daher geben Geräte an, in welcher Art von Netzwerk sie sich befinden, damit bekannt ist, welches Format die MAC-Adresse haben muss.
ProtokolltypDer Typ des Netzwerkprotokolls, das für die Adresse in der Nachricht verwendet wird (zum Beispiel IPv4).
HardwarelängeDie Länge der MAC-Adresse in Byte (eine Einheit für digitale Informationen).
Länge des ProtokollsDie Größe der IP-Adresse in Byte.
VorgangDer in der ARP-Nachricht verwendete Anfrage- oder Antwortcode.
Hardwareadresse des AbsendersDie MAC-Adresse des Geräts, das die Nachricht sendet.
Protokolladresse des AbsendersDie IP-Adresse des Geräts, das die Nachricht aussendet.
Hardwareadresse des EmpfängersDie MAC-Adresse des Geräts, das die Nachricht empfängt. Bei Anfragen ist dieses Feld leer, da der Absender sie nicht kennt.
Protokolladresse des EmpfängersDie IP-Adresse des Geräts, nach dem in der ARP-Anfrage gesucht wird.

Wozu wird ARP im Netzwerkbereich verwendet?

    • Ermöglicht die Kommunikation zwischen Geräten: Es verknüpft IP-Adressen mit MAC-Adressen, sodass Geräte im selben Netzwerk die MAC-Adresse nutzen können, um Daten (wie Dateien, Web-Datenverkehr oder E-Mails) zu übertragen.
    • Deckt Adresskonflikte auf: Der ARP-Cache zeigt an, ob mehrere Geräte im selben Netzwerk dieselbe IP- oder MAC-Adresse verwenden. Dieser Konflikt kann dazu führen, dass Daten das falsche Gerät erreichen.
    • Reduziert unnötigen Datenverkehr: Geräte speichern IP-zu-MAC-Zuordnungen in ihren ARP-Caches. Das trägt zu einem effizienten Betrieb des LAN bei, da die Geräte ihre IP-MAC-Zuordnungen nicht ständig über das Netzwerk senden müssen.
    • Hilft bei der Fehlerbehebung von Netzwerkproblemen: IT-Administratoren können den ARP-Datenverkehr überwachen, um Verbindungsprobleme zu erkennen. Sie können beispielsweise nach fehlenden ARP-Antworten, doppelten IP-zu-MAC-Zuordnungen oder einem hohen Aufkommen an ARP-Anfragen suchen.
    • Unterstützt die Sicherheitsüberwachung: Netzwerkadministratoren können Tools einsetzen, um den ARP-Verkehr auf verdächtige Muster (wie ARP-Spoofing) zu überwachen, die auf einen Cyberangriff hindeuten könnten.

Welche verschiedenen Arten von ARP gibt es?

Eine Infografik, auf der ein Ghostie neben einer Tafel zu sehen ist, auf der die vier Hauptarten von ARP dargestellt sind.

Es gibt vier Hauptarten von ARP:

    • Proxy ARP: Dabei antwortet ein Proxy (in der Regel ein Router) im Namen eines anderen Geräts auf eine ARP-Anfrage. Der Proxy antwortet mit seiner eigenen MAC-Adresse und leitet anschließend alle Daten, die er vom Absender erhält, an den vorgesehenen Empfänger weiter. So ist die Kommunikation zwischen Geräten in verschiedenen Subnetzen desselben Netzwerks möglich.
    • Gratuitous ARP: Tritt auf, wenn ein Gerät seine IP-MAC-Zuordnung unaufgefordert im Netzwerk sendet. IT-Teams nutzen diese Art von ARP möglicherweise, um IP-Konflikte zu erkennen oder Netzwerkgeräte dazu zu veranlassen, ihre ARP-Caches zu aktualisieren.
    • Inverse ARP (InARP): Ist das Gegenteil von ARP, d. h., ein Gerät kennt die MAC-Adresse eines anderen Geräts, aber nicht dessen IP-Adresse. Wenn es die ARP-Anfrage sendet, fragt der Absender nur nach der IP-Adresse des Empfängers.
    • Reverse ARP (RARP): Dieser ältere Prozess ermöglichte es insbesondere disklosen Workstations, ihre eigene MAC-Adresse zu nutzen, um ihre eigene IP-Adresse anzufordern. RARP wurde hauptsächlich in frühen Netzwerkkonfigurationen verwendet, ist heute jedoch veraltet, da moderne Netzwerke DHCP zur IP-Zuweisung nutzen.

Was ist ARP-Spoofing?

ARP-Spoofing (auch ARP-Poisoning genannt) ist eine Art von Cyberangriff, bei dem ein Angreifer eine gefälschte ARP-Antwort sendet. Dies kann entweder als Antwort auf eine echte Anfrage oder mithilfe von „Gratuitous ARP“ erfolgen. In der Folge ordnen Geräte in einem lokalen Netzwerk die MAC-Adresse des Angreifers der IP-Adresse eines anderen Geräts zu. Dadurch werden Daten, die für das eigentliche Gerät bestimmt sind, an den Angreifer gesendet.

Ein solcher Angriff kann stattfinden, wenn sich ein böswilliger Akteur physisch mit dem Netzwerk verbindet, wenn Du ein ungesichertes WLAN-Netzwerk nutzt oder wenn Malware die Kontrolle über ein Netzwerkgerät übernimmt.

Gelingt das ARP-Spoofing, kann dies zu weiteren Cyberangriffen führen, wie zum Beispiel:

    • MITM-Angriffe: Ein Man-in-the-Middle-Angriff (MITM) findet statt, wenn ein Cyberkrimineller erfolgreich Daten abfängt, verändert oder stiehlt, die zwischen Geräten ausgetauscht werden.
    • Session-Hijacking: Dabei stiehlt ein Angreifer Sitzungskennungen (wie Session-Cookies), um sich bei der Interaktion mit einem Webdienst als Benutzer auszugeben. Zwar mindern die meisten modernen HTTPS-Seiten dieses Risiko, doch Dienste ohne ausreichende Verschlüsselung können weiterhin betroffen sein.
    • DoS-Angriffe: Ein Denial-of-Service (DoS)-Angriff überlastet ein Gerät oder Netzwerk mit Datenverkehr, um dessen Betrieb zu stören. Ein Angreifer kann eine große Anzahl gefälschter ARP-Anfragen senden, um lokale Netzwerkressourcen zu überlasten.

So erkennst Du ARP-Spoofing

Mit den folgenden Schritten kannst Du den ARP-Cache Deines Geräts schnell überprüfen:

  1. Öffne die Befehlszeilenschnittstelle Deines Geräts über die Eingabeaufforderung unter Windows oder das Terminal unter macOS und Linux.
Screenshot des Startmenüs unter Windows 10. In der Suchleiste ist der Text „Eingabeaufforderung“ eingegeben, und das Suchergebnis „Eingabeaufforderung“ ist hervorgehoben und vergrößert.
  1. Gib in der Befehlszeilen-App „arp -a” ein und drücke die Eingabetaste. Der Befehl „arp -a“ wird von Windows, macOS und Linux unterstützt, sodass er auf allen Systemen gleich funktioniert.
Screenshot, der die Eingabeaufforderung unter Windows 10 zeigt. Der Befehl „arp -a“ ist auf dem Bildschirm eingegeben und wird hervorgehoben und vergrößert dargestellt.
  1. Es sollte eine Tabelle mit IP-MAC-Zuordnungen erscheinen. Wenn Du mehrere IP-Adressen siehst, die einer MAC-Adresse zugeordnet sind, könnte das auf einen ARP-Spoofing- oder Poisoning-Versuch hindeuten.
Screenshot der Eingabeaufforderung unter Windows 10. Der Befehl „arp -a“ wurde eingegeben, woraufhin der ARP-Cache des Computers angezeigt wurde.

In größeren oder komplexeren Netzwerken haben oft mehrere IP-Adressen dieselbe MAC-Adresse, beispielsweise bei Proxy-Servern, Routern mit mehreren IP-Adressen oder Load-Balancern. Diese Konfiguration hilft dabei, den Netzwerkverkehr effizienter zu verwalten. In diesen Fällen reicht es jedoch nicht aus, den ARP-Cache manuell zu überprüfen, weshalb Unternehmen in der Regel spezielle Netzwerkanalyse-Tools wie Wireshark nutzen, um ARP-Spoofing zu erkennen.

So beugst Du ARP-Spoofing vor

    • Verwende statische ARP-Einträge: Lege die Zuordnung von IP- zu MAC-Adressen manuell fest, um ARP-Spoofing zu erschweren. Auf diese Weise sind die Zuordnungen fest vorgegeben und können nicht ohne Weiteres von Angreifern geändert werden. In großen Netzwerken ist dieser Ansatz jedoch unpraktisch, da die Einträge bei jeder Änderung manuell aktualisiert werden müssen.
    • ARP-Cache-Timeouts verkürzen: Verkürze die Zeit, wie lange ein Gerät eine IP-zu-MAC-Zuordnung speichert, um das Zeitfenster für ARP-Poisoning zu verringern. Dies kann jedoch den ARP-Verkehr erhöhen und die Netzwerkeffizienz beeinträchtigen.
    • Segmentiere Dein Netzwerk: Teile Dein Netzwerk mit Routern und Firewalls in kleinere Teile auf. Das verhindert ARP-Spoofing zwar nicht vollständig, schränkt aber dessen Ausbreitung ein.
    • Überwache den Netzwerkverkehr: Nutze Tools wie Wireshark, um den Netzwerkverkehr auf verdächtige Muster wie ungewöhnliche ARP-Anfragen oder -Antworten sowie unbefugte Änderungen an ARP-Caches zu scannen.
    • Beschränke den Zugriff auf Switch-Ports: Begrenze die Anzahl der Geräte, die sich mit den Ports eines Netzwerk-Switches verbinden können, um zu verhindern, dass unbefugte Nutzer auf Dein Netzwerk zugreifen.
    • Aktiviere Dynamic ARP Inspection (DAI): Aktiviere diese Sicherheitsfunktion, um Dich vor ARP-Spoofing und -Poisoning zu schützen. Die meisten für Unternehmen konzipierten Netzwerk-Switches bieten diese Funktion, allerdings muss sie in der Regel erst aktiviert und konfiguriert werden.
    • Verhindere unbefugten Netzwerkzugriff: Erschwere Angreifern den Zugriff auf Dein LAN, indem Du Netzwerkverschlüsselung aktivierst, eine Firewall und Antivirensoftware einsetzt, ungenutzte Netzwerkports oder Dienste deaktivierst, sichere Anmeldungen verlangst und Deine Software auf dem neuesten Stand hältst.

Wenn Du Dir wegen ARP-Spoofing in öffentlichen WLAN-Netzen Sorgen machst, kann ein VPN helfen, da es Deinen Internetverkehr verschlüsselt. Selbst wenn ein Angreifer einen erfolgreichen ARP-Spoofing-Angriff startet, kann er Deinen Datenverkehr nicht auslesen. Ein VPN kann zwar keine Malware-Injektionen oder andere Arten von Angriffen verhindern, schützt Deine Daten aber davor, in ungesicherten Netzwerken offengelegt zu werden. CyberGhost VPN bietet erstklassige Sicherheitsfunktionen und Hochgeschwindigkeitsserver in 100 Ländern und sichert langfristige Abonnements mit einer 45-tägigen Geld-zurück-Garantie ab.

ARP vs. DHCP vs. DNS

ProtokollVollständiger NameNetzwerktypWas es machtWarum es gebraucht wird
ARPAddress Resolution ProtocolLokale Netzwerke (LAN)Verknüpft die IP-Adresse eines Geräts mit dessen MAC-AdresseErmöglicht es Geräten im selben Netzwerk, Daten untereinander auszutauschen
DHCPDynamic Host Configuration ProtocolLokale Netzwerke (LAN)Weist Geräten Konfigurationsdaten zu, darunter IP-Adressen und DNS-Server-DatenErleichtert Geräten den Beitritt zu einem Netzwerk ohne manuelle Einrichtung
DNSDomain Name SystemLokale und weitreichende Netzwerke (LAN/WAN)Setzt Website- und Servernamen in IP-Adressen umErmöglicht es Geräten und Apps, sich mit Websites und Diensten wie „netflix.com“ zu verbinden

ARP – Ein einfaches, aber unverzichtbares Netzwerkprotokoll

Auf den ersten Blick scheint die Aufgabe des ARP-Protokolls, IP- und MAC-Adressen zuzuordnen, sehr einfach zu sein. Sie ist jedoch von entscheidender Bedeutung für die Netzwerkkommunikation, da sie es Geräten erst ermöglicht, miteinander zu kommunizieren und Daten auszutauschen. Leider macht dies ARP auch zu einem Ziel für Cyberkriminelle. Deshalb ist es für die Sicherheit von Netzwerken unerlässlich, die Funktionsweise von ARP zu verstehen und potenzielle Schwachstellen zu kennen.

Häufig gestellte Fragen

Was ist ARP und warum ist es im Netzwerk wichtig?

ARP (Address Resolution Protocol) ist ein Netzwerkprotokoll, das IP- und Hardware-Adressen in einem lokalen Netzwerk zuordnet. Dies ist ein wesentlicher Bestandteil der Netzwerkkommunikation, da es Geräten in einem lokalen Netzwerk die Kommunikation und den Datenaustausch ermöglicht.

Wie funktioniert das ARP-Protokoll in einem lokalen Netzwerk?

Das ARP (Address Resolution Protocol) ermöglicht es Geräten im selben lokalen Netzwerk, Daten auszutauschen. Dazu verknüpft es IP-Adressen mit MAC-Adressen (Media Access Control), also Hardware-Identifikatoren. ARP ermittelt die MAC-Adresse eines Geräts, um Daten an dieses zu senden.

Was bedeutet ARP im Netzwerkbereich genau?

ARP steht für „Address Resolution Protocol“ und ist ein zentraler Bestandteil der Netzwerkfunktion. Es handelt sich um ein Protokoll, das IP-Adressen in MAC-Adressen übersetzt, sodass Geräte im selben lokalen Netzwerk Daten untereinander austauschen können.

Was ist eine der wichtigsten Funktionen des ARP-Protokolls?

Die Hauptfunktion von ARP (Address Resolution Protocol) besteht darin, Geräten in einem lokalen Netzwerk die Kommunikation und den Datenaustausch untereinander zu ermöglichen. Dies geschieht durch die Verknüpfung von IP-Adressen mit Hardware-Adressen, die auch als MAC-Adressen (Media Access Control) bezeichnet werden. ARP kann zudem unnötigen Netzwerkverkehr reduzieren und IP-Teams bei der Behebung von Verbindungsproblemen unterstützen.

Wie nutzt ARP eine IPv4-Adresse, um eine MAC-Adresse zu finden?

ARP (Address Resolution Protocol) hilft Geräten in einem lokalen Netzwerk dabei, IPv4-Adressen mit MAC-Adressen abzugleichen. Ein Gerät kennt möglicherweise die IP-Adresse eines anderen Geräts, aber nicht dessen MAC-Adresse. Muss es Daten austauschen, nutzt es ARP, um die entsprechende MAC-Adresse herauszufinden. Diese Information speichert es dann vorübergehend und beginnt mit der Kommunikation mit dem Zielgerät.

Welche Rolle spielt das ARP bei der Datenübertragung?

ARP ermöglicht es Geräten im selben lokalen Netzwerk, Daten auszutauschen. Dazu verknüpft es IP- und MAC-Adressen (Media Access Control). Wenn ein Gerät die MAC-Adresse eines anderen Geräts ermitteln muss, nutzt es ARP, um dies zu tun. Sobald es die MAC-Adresse erhalten hat, speichert es sie vorübergehend und beginnt, Daten an den richtigen Ort zu übermitteln.

Wird ARP noch verwendet?

Ja, ARP ist heute in Computernetzwerken weit verbreitet. Es ist ein unverzichtbares Netzwerkprotokoll, da es Geräten im selben lokalen Netzwerk dabei hilft, die Hardware-Adressen der anderen zu ermitteln. So können sie Daten miteinander austauschen.

Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit * gekennzeichnet.