ARP
ARP (Address Resolution Protocol) ist ein fundamentales Netzwerkprotokoll, das IP-Adressen in MAC-Adressen auflöst. Es arbeitet auf Schicht 2 und 3 des OSI-Modells und wurde 1982 in RFC 826 standardisiert.
In Ethernet-Netzwerken kommunizieren Geräte auf der Sicherungsschicht über MAC-Adressen, während Anwendungen IP-Adressen verwenden. ARP bildet die Brücke zwischen diesen beiden Adressierungsarten und ist damit unverzichtbar für die Kommunikation im lokalen Netzwerk.
Warum wird ARP benötigt?
Wenn ein Computer Daten an einen anderen Rechner im selben Netzwerk senden möchte, kennt er dessen IP-Adresse, aber nicht dessen physische MAC-Adresse. Die MAC-Adresse ist jedoch zwingend erforderlich, um einen Ethernet-Frame zu erstellen und die Daten tatsächlich über das Netzwerkkabel zu übertragen.
Stell dir vor, du möchtest einem Kollegen im selben Bürogebäude ein Paket schicken. Du kennst seinen Namen (IP-Adresse), aber nicht seine Zimmernummer (MAC-Adresse). ARP ist wie ein Rundruf: "Wer hat diesen Namen? Bitte melde dich mit deiner Zimmernummer!"
So funktioniert ARP
Der ARP-Prozess läuft in vier Schritten ab:
-
ARP-Request (Anfrage): Der sendende Computer schickt einen Broadcast an alle Geräte im lokalen Netzwerk mit der Frage: "Wer hat die IP-Adresse X.X.X.X?"
-
Empfang durch alle Geräte: Jedes Gerät im Netzwerksegment empfängt diese Anfrage und prüft, ob die gesuchte IP-Adresse mit seiner eigenen übereinstimmt.
-
ARP-Reply (Antwort): Nur das Gerät mit der passenden IP-Adresse antwortet direkt (Unicast) mit seiner MAC-Adresse: "Das bin ich, meine MAC-Adresse ist AA:BB:CC:DD:EE:FF."
-
Speicherung im Cache: Der anfragende Computer speichert die Zuordnung im ARP-Cache, um zukünftige Anfragen zu beschleunigen.
Aufbau eines ARP-Pakets
Ein ARP-Paket besteht aus mehreren Feldern, die sowohl die Hardware- als auch die Protokolladressen von Sender und Empfänger enthalten:
| Feld | Größe | Beschreibung |
|---|---|---|
| Hardware Type | 2 Bytes | Netzwerktyp (1 = Ethernet) |
| Protocol Type | 2 Bytes | Protokoll (0x0800 = IPv4) |
| Hardware Size | 1 Byte | Länge der MAC-Adresse (6) |
| Protocol Size | 1 Byte | Länge der IP-Adresse (4) |
| Opcode | 2 Bytes | Operation (1 = Request, 2 = Reply) |
| Sender MAC | 6 Bytes | MAC-Adresse des Senders |
| Sender IP | 4 Bytes | IP-Adresse des Senders |
| Target MAC | 6 Bytes | MAC-Adresse des Ziels (bei Request: 00:00:00:00:00:00) |
| Target IP | 4 Bytes | IP-Adresse des Ziels |
ARP in der Praxis
Als IT-Auszubildender wirst du ARP in verschiedenen Situationen begegnen:
ARP-Tabelle anzeigen
Mit einfachen Befehlen kannst du die ARP-Tabelle deines Systems einsehen:
# Windows
arp -a
# Linux / macOS
arp -a
# oder moderner:
ip neigh showDie Ausgabe zeigt alle bekannten Zuordnungen zwischen IP- und MAC-Adressen im lokalen Netzwerk. Du siehst hier typischerweise deinen Standardgateway, andere Computer und Netzwerkdrucker.
Netzwerk-Troubleshooting
Bei Netzwerkproblemen kann die Analyse des ARP-Verkehrs aufschlussreich sein. Mit Tools wie Wireshark lassen sich ARP-Pakete live mitschneiden und analysieren. Häufige Probleme sind:
- Veraltete Cache-Einträge: Ein Gerät hat eine neue MAC-Adresse (z.B. nach Netzwerkkartentausch), aber der Cache enthält noch die alte Zuordnung
- IP-Konflikte: Zwei Geräte beanspruchen dieselbe IP-Adresse
- Gratuitous ARP: Ein Gerät sendet unaufgefordert seine MAC-Adresse (kann legitim oder Angriffszeichen sein)
Sicherheitsaspekte: ARP-Spoofing
ARP hat eine konzeptionelle Schwäche: Es vertraut jeder Antwort ohne Authentifizierung. Ein Angreifer kann gefälschte ARP-Antworten senden und behaupten, er sei das Standardgateway. Der angegriffene Computer aktualisiert seinen Cache und sendet fortan allen Datenverkehr an den Angreifer, statt ans tatsächliche Gateway.
Diese Technik nennt sich ARP-Spoofing oder ARP-Poisoning und ermöglicht Man-in-the-Middle-Angriffe. Gegenmaßnahmen sind:
- Statische ARP-Einträge für kritische Systeme (z.B. Gateway, Server)
- Dynamic ARP Inspection (DAI) auf managed Switches
- ARP-Watch-Tools zur Überwachung ungewöhnlicher ARP-Aktivitäten
- 802.1X-Authentifizierung im Netzwerk
Verwandte Protokolle
ARP ist Teil einer Familie von Adressauflösungsprotokollen:
- RARP (Reverse ARP): Umgekehrte Richtung: MAC-Adresse → IP-Adresse (veraltet, ersetzt durch DHCP)
- Proxy ARP: Ein Router antwortet auf ARP-Anfragen für Geräte in anderen Netzwerken
- NDP (Neighbor Discovery Protocol): ARP-Äquivalent für IPv6, nutzt ICMPv6 statt eines separaten Protokolls
- InARP (Inverse ARP): Für Frame Relay und ATM-Netzwerke
ARP und IPv6
Ein wichtiger Hinweis: ARP existiert nur für IPv4. Bei IPv6 übernimmt das Neighbor Discovery Protocol (NDP) diese Aufgabe. NDP nutzt ICMPv6-Nachrichten (Neighbor Solicitation und Neighbor Advertisement) und bietet zusätzliche Funktionen wie automatische Adresskonfiguration und Erkennung von Routern im Netzwerk.
Prüfungsrelevanz
ARP ist ein Standardthema in der IT-Abschlussprüfung, besonders für Fachinformatiker für Systemintegration. Typische Prüfungsfragen betreffen:
- Die Funktion und den Ablauf des ARP-Protokolls
- Den Unterschied zwischen ARP-Request (Broadcast) und ARP-Reply (Unicast)
- Sicherheitsrisiken durch ARP-Spoofing
- Die Rolle des ARP-Cache und dessen Verwaltung
- Den Unterschied zwischen ARP (IPv4) und NDP (IPv6)
Quellen und weiterführende Links
- RFC 826 - Ethernet Address Resolution Protocol - Offizielle ARP-Spezifikation
- Elektronik-Kompendium: ARP - Deutschsprachige Erklärung
- Wikipedia: Address Resolution Protocol - Umfassende Übersicht