Login Registrieren
Lernen / Netzwerk- & TCP/IP-Tutorial / ARP

ARP

Link-Schicht (1/2)

Das Problem: IP kennt MAC nicht

Im LAN werden Daten letztlich per Ethernet-Frame zugestellt, und der Frame braucht eine Ziel-MAC-Adresse. Anwendungen und das Internet arbeiten aber mit IP-Adressen auf Schicht 3. Ein Computer weiß also: „Ich will an 192.168.1.20 senden“ – aber welche MAC-Adresse gehört zu dieser IP? Genau diese Lücke schließt ARP, das Address Resolution Protocol. Es übersetzt eine IP-Adresse in die zugehörige MAC-Adresse im selben Netz.

ARP-Request und ARP-Reply

Der Ablauf ist denkbar einfach und läuft als Frage-Antwort-Spiel:

  1. ARP-Request: Der Sender schickt einen Broadcast an alle: „Wer hat 192.168.1.20? Sag es 192.168.1.10.“
  2. ARP-Reply: Nur der Besitzer der gesuchten IP antwortet – per Unicast: „Das bin ich, meine MAC ist AC:DE:48:00:33:44.“
PC-A (192.168.1.10)              PC-B (192.168.1.20)
   |                                   |
   |  ARP-Request (Broadcast)          |
   |  "Wer hat 192.168.1.20?"  ---->   | (alle hören mit)
   |                                   |
   |  ARP-Reply (Unicast)              |
   |  <---- "Ich, MAC AC:DE:48:..:44"  |
   v                                   v
 Frame kann nun gesendet werden

Der ARP-Cache

Damit nicht vor jedem Frame neu gefragt werden muss, speichert jedes Gerät die gelernten Zuordnungen eine Weile in seinem ARP-Cache (auch ARP-Tabelle). Einträge laufen nach kurzer Zeit ab und werden bei Bedarf neu erfragt.

$ ip neigh
192.168.1.1   dev eth0 lladdr ac:de:48:00:00:01 REACHABLE
192.168.1.20  dev eth0 lladdr ac:de:48:00:33:44 STALE
IP-AdresseMAC-AdresseStatus
192.168.1.1AC:DE:48:00:00:01REACHABLE
192.168.1.20AC:DE:48:00:33:44STALE (läuft ab)

Sicherheitsrisiko: ARP-Spoofing

ARP hat eine gefährliche Schwäche: Es gibt keine Prüfung, ob eine Antwort echt ist. Jeder im Netz kann ungefragt ARP-Replies senden – und Geräte übernehmen sie blind in ihren Cache. Diesen Angriff nennt man ARP-Spoofing (oder ARP-Poisoning):

Angreifer behauptet:
 "192.168.1.1 (der Router) = MEINE MAC"
        |
        v
Opfer schickt nun allen Internet-Verkehr
an den Angreifer  →  Man-in-the-Middle

Der Angreifer schaltet sich so unbemerkt zwischen Opfer und Router (Man-in-the-Middle) und kann den Verkehr mitlesen oder manipulieren – sofern dieser nicht zusätzlich verschlüsselt ist.

Wie wird ein ARP-Request üblicherweise verschickt?

Schutzmaßnahmen

Gegen ARP-Spoofing helfen mehrere Ansätze: Dynamic ARP Inspection auf Managed Switches prüft ARP-Antworten gegen bekannte Zuordnungen; statische ARP-Einträge für kritische Geräte lassen sich nicht so leicht überschreiben. Am wichtigsten aber: Verschlüssele deinen Verkehr (HTTPS, VPN). Dann kann ein Angreifer zwar den Weg umleiten, den Inhalt aber nicht lesen. Damit schließt du den Grundlagenteil der Link-Schicht ab.

Switching & VLANs IP-Grundlagen (IPv4)