Begriff
ARP (Address Resolution Protocol)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Im Internet nutzen wir IP-Adressen ("Hausnummern": 192.168.1.5). Aber das Ethernet-Kabel (Hardware) versteht nur MAC-Adressen ("Seriennummern": AA:BB:CC:DD:EE:FF). Wenn dein PC eine Datei an 192.168.1.5 senden will, muss er wissen: "Welche Hardware (MAC) gehört zu dieser IP?" Er schreit ins Netzwerk: "HALLO! Wer hat die IP 192.168.1.5?" (ARP Request) Der Besitzer antwortet: "ICH! Meine MAC ist AA:BB:..." (ARP Reply) Jetzt kann dein PC das Paket adressieren und senden. Ohne ARP funktioniert kein lokales Netzwerk (IPv4).
Merksatz: Ein Protokoll, das eine logische IP-Adresse (Layer 3) in eine physische MAC-Adresse (Layer 2) auflöst.
Befehl: arp -a (Windows/Linux).
Zeigt die ARP-Tabelle (Cache).
Dort merkt sich dein PC die Antworten ("IP 1.2.3.4 gehört MAC X"), damit er nicht jedes Mal schreien muss.
Einträge verfallen nach paar Minuten (falls jemand die Netzwerkkarte tauscht).
1. ARP Spoofing / Poisoning
Das Protokoll (von 1982) hat keine Sicherheit. Jeder kann antworten. "Ja, ich bin der Router!" (Lüge). Dein PC glaubt dem, der zuerst antwortet (oder zuletzt). Das ist die Basis für Man-in-the-Middle Attacken im LAN. Gegenmaßnahme: Dynamic ARP Inspection (DAI) auf teuren Switches (blockiert falsche Antworten).
2. Gratuitous ARP (GARP)
Ein Gerät sendet ungefragt ein ARP Reply: "Übrigens, ich habe jetzt IP X!". Nützlich bei:
- Failover (High Availability): Wenn der Haupt-Router stirbt, übernimmt der Backup-Router die IP und sendet GARP, damit alle PCs sofort die neue MAC nutzen.
- IP-Konflikt-Erkennung: Wenn du bootest, sendest du GARP. Wenn jemand antwortet "Hey, das ist meine IP!", weißt du: IP-Konflikt.
3. IPv6 (NDP)
IPv6 hat keinen ARP mehr. Es nutzt NDP (Neighbor Discovery Protocol) über ICMPv6. Das Prinzip ist gleich (Solicitation/Advertisement), aber es nutzt Multicast statt Broadcast (effizienter) und kann kryptografisch abgesichert werden (SEND).
1. ARP Header Format
Ein ARP-Paket ist simpel, aber mächtig. Es kapselt sich direkt in einen Layer-2 Frame (z.B. Ethernet-Frame) und hat einen eigenen EtherType (0x0806), es nutzt also kein IP-Header!
Im Paket stehen wichtige Felder:
- Hardware Type:
1(für Ethernet) - Protocol Type:
0x0800(für IPv4) - Opcode:
1(Request) oder2(Reply) Sender MAC & IP: Wer fragt?
Musterantwort: Beginne mit dem konkreten Fall, prüfe die Fakten und erkläre den Begriff daran. Für diesen Abschnitt gilt: Befehl: arp -a (Windows/Linux). Zeigt die ARP-Tabelle (Cache). Dort merkt sich dein PC die Antworten ("IP 1.2.3.4 gehört MAC X"), damit er nicht jedes Mal schreien muss. Einträge verfallen nach paar Minuten (falls jemand die Netzwerkkarte tauscht).- Target MAC & IP: Wen suche ich? (Target MAC ist im Request meist
FF:FF:FF:FF:FF:FFBroadcast).
2. ARP Flux (in Linux-Clustern)
Ein Linux-Kernel "denkt" standardmäßig für den gesamten Server, nicht pro Netzwerkkarte.
Wenn ein Server zwei Netzwerkkarten (eth0, eth1) im gleichen Subnetz hat, und ein ARP Request auf eth0 hereinkommt, könnte Linux mit der MAC-Adresse von eth1 antworten.
Das nennt man ARP Flux. Es führt zu asymmetrischem Routing und kaputten Traffic-Strömen. Administratoren müssen dann Kernel-Parameter (arp_ignore=1 und arp_announce=2) setzen, um Linux zu zwingen, strikt pro Interface zu antworten.
3. Inverse ARP (InARP)
Während normales ARP eine IP zu einer MAC auflöst, macht InARP genau das Gegenteil. Es wird genutzt in Frame-Relay- oder ATM-Netzwerken, wo ein Gerät beim Verbinden eine physikalische Adresse (DLCI) bekommt, aber seine eigene oder die entfernte IP-Adresse noch nicht kennt. Es fragt: "Ich kenne deine Hardware-Adresse, aber welche IP-Adresse hast du?" Ein Vorläufer zu moderneren DHCP/BOOTP Konzepten.
Quick-Check
Geht ARP übers Internet?
Nein. ARP funktioniert nur im lokalen Kabelsegment (Broadcast Domain). Router leiten ARP nicht weiter. Im Internet nutzen Router Routing-Tabellen (BGP), kein ARP.ARP Cache Poisoning?
Das gleiche wie Spoofing. Man "vergiftet" den Cache des Opfers mit falschen Zuordnungen.Proxy ARP?
Ein Router antwortet stellvertretend für einen PC, der woanders liegt (z. B. hinter VPN). Der Router sagt "Schick's mir (meine MAC), ich leite es weiter."