/ Begriff

ARP

Protokoll zur Auflösung von IP- in MAC-Adressen im lokalen Netz.

Das ARP (Address Resolution Protocol) ist das Protokoll, mit dem ein Gerät im lokalen Netz herausfindet, welche MAC-Adresse zu einer bekannten IPv4-Adresse gehört. Es schließt die Lücke zwischen der Vermittlungsschicht (Layer 3, IP) und der Sicherungsschicht (Layer 2, Ethernet/WLAN).

ARP ist eine Voraussetzung dafür, dass IPv4-Pakete überhaupt zum richtigen Gerät im selben Subnetz gelangen — ohne MAC-Adresse weiß der Switch nicht, wohin er das Frame schicken soll.

Funktionsweise

Will ein Gerät ein Paket an eine IP im selben Subnetz schicken und kennt die zugehörige MAC-Adresse nicht, läuft ein einfacher Austausch:

Der Sender schickt einen ARP-Request als Broadcast an alle Geräte im Netz: „Wer hat IP 192.168.10.42? Bitte melden bei MAC abc...".
Das Gerät mit der angefragten IP antwortet mit einem ARP-Reply direkt an den Sender: „192.168.10.42 ist meine MAC."
Der Sender trägt die Zuordnung in seinen ARP-Cache ein und nutzt sie für künftige Pakete.

Der Cache läuft nach einer kurzen Zeit ab, damit Änderungen — etwa ein Wechsel der Hardware — wieder erkannt werden.

Sonderformen

Mehrere Varianten haben einen festen Platz im Sprachgebrauch:

Gratuitous ARP — ein Gerät kündigt unaufgefordert seine eigene Zuordnung an, etwa nach dem Bootvorgang oder bei einem Failover.
Proxy ARP — ein Router antwortet stellvertretend für Adressen aus einem anderen Netzbereich.
Reverse ARP (RARP) — historische Variante zur Ermittlung der eigenen IP anhand der MAC; in der Praxis längst durch DHCP abgelöst.

Sicherheitsaspekte

ARP ist absichtlich schlicht und kennt keine Authentifizierung. Daraus ergeben sich zwei Angriffsformen:

ARP-Spoofing — ein Angreifer beantwortet ARP-Requests mit eigener MAC-Adresse und lenkt damit Datenverkehr auf sich um.
ARP-Cache-Poisoning — gezieltes Einfügen falscher Einträge in den Cache anderer Geräte.

Schutz bieten Dynamic ARP Inspection auf Switches, sauber eingerichtete VLANs, statische ARP-Einträge an kritischen Stellen oder eine durchgehende Verschlüsselung auf Anwendungsebene, die ARP-Manipulationen unwirksam macht.

Abgrenzung zu IPv6

In IPv6 existiert ARP nicht — die Aufgabe übernimmt das NDP (Neighbor Discovery Protocol), das auf ICMPv6 aufsetzt und zusätzliche Funktionen wie Router Advertisements und SLAAC mitbringt.

/ Weiter

Zurück zu IT

Zur Übersicht