ARP (Address Resolution Protocol)

Was ist das Address Resolution Protocol (ARP)?

Das Address Resolution Protocol (ARP) ist ein Verfahren zur Abbildung einer dynamischen Internet-Protokoll-Adresse (IP-Adresse) auf eine permanente physische Maschinenadresse in einem lokalen Netzwerk (LAN). Die physische Rechneradresse wird auch als Media Access Control oder MAC-Adresse bezeichnet.

Die Aufgabe des ARP besteht im Wesentlichen darin, 32-Bit-Adressen in 48-Bit-Adressen und umgekehrt zu übersetzen. Dies ist notwendig, weil in IP Version 4 (IPv4), der heute am häufigsten verwendeten Variante des Internet-Protokolls (IP), eine IP-Adresse 32 Bit lang ist, MAC-Adressen jedoch 48 Bits umfassen.

ARP arbeitet zwischen den Netzwerkschichten 2 und 3 des Open-Systems-Interconnection-Modells (OSI-Modell). Die MAC-Adresse existiert auf Schicht 2 des OSI-Modells, der Sicherungsschicht, während die IP-Adresse auf Schicht 3, der Netzwerkschicht, zu finden ist.

ARP kann auch für IP über andere LAN-Technologien verwendet werden, wie Token Ring, Fiber Distributed Data Interface (FDDI) und IP over ATM.

Wie ARP funktioniert

Wenn ein neuer Computer einem LAN beitritt, wird ihm eine eindeutige IP-Adresse zugewiesen, die zur Identifizierung und Kommunikation dient. Falls ein ankommendes Paket, das für einen Host-Rechner in einem bestimmten LAN bestimmt ist, an einem Gateway eintrifft, bittet das Gateway das ARP-Programm, eine MAC-Adresse zu finden, die mit der IP-Adresse übereinstimmt. In einer Tabelle, dem sogenannten ARP-Cache, wird jede IP-Adresse und die entsprechende MAC-Adresse aufgezeichnet.

Alle Betriebssysteme in einem IPv4-Ethernet-Netzwerk führen einen ARP-Cache. Jedes Mal, wenn ein Host eine MAC-Adresse anfordert, um ein Paket an einen anderen Host im LAN zu senden, überprüft er seinen ARP-Cache, um festzustellen, ob die IP-zu-MAC-Adressenübersetzung bereits vorhanden ist. Wenn dies der Fall ist, erübrigt sich eine neue ARP-Anforderung. Wenn die Übersetzung nicht bereits vorhanden ist, wird die Anforderung für Netzwerkadressen gesendet und ARP durchgeführt.

ARP sendet ein Anforderungspaket an alle Rechner im LAN und fragt, ob einer der Rechner weiß, dass er diese bestimmte IP-Adresse verwendet. Wenn eine Maschine die IP-Adresse als ihre eigene erkennt, sendet sie eine Antwort, sodass ARP den Cache für zukünftige Referenzen aktualisieren und mit der Kommunikation fortfahren kann.

Host-Rechner, die ihre eigene IP-Adresse nicht kennen, können das Reverse-ARP-Protokoll (RARP) zur Erkennung verwenden.

Die Größe des ARP-Caches ist begrenzt und wird periodisch von allen Einträgen bereinigt, um Platz freizugeben; in der Regel bleiben Adressen nur wenige Minuten im Cache. Durch häufige Aktualisierungen können andere Geräte im Netzwerk sehen, wenn ein physischer Host seine angeforderte IP-Adresse ändert. Bei der Bereinigung werden unbenutzte Einträge gelöscht sowie alle erfolglosen Versuche, mit Computern zu kommunizieren, die derzeit nicht eingeschaltet sind.

Proxy ARP

Proxy ARP ermöglicht es einem Netzwerk-Proxy, ARP-Anfragen für IP-Adressen zu beantworten, die sich außerhalb des Netzwerks befinden. So lassen sich Pakete erfolgreich von einem Subnetzwerk in ein anderes übertragen.

Beim Senden eines ARP-Anfragepakets wird die Routing-Tabelle untersucht, um herauszufinden, welches Gerät im LAN das Ziel am schnellsten erreichen kann. Dieses Gerät, bei dem es sich oft um einen Router handelt, wird zu einem Gateway für die Weiterleitung von Paketen außerhalb des Netzwerks an ihre vorgesehenen Ziele.

ARP Spoofing

Jedes LAN, das ARP verwendet, muss sich vor ARP Spoofing hüten, das auch als ARP Poison Routing oder ARP Cache Poisoning bezeichnet wird. ARP Spoofing ist ein Geräteangriff, bei dem ein Hacker falsche ARP-Nachrichten über ein LAN sendet, um die MAC-Adresse eines Angreifers mit der IP-Adresse eines legitimen Computers oder Servers innerhalb des Netzwerks zu verknüpfen. Sobald eine Verbindung hergestellt ist, kann der Zielcomputer zunächst Frames, die für das ursprüngliche Ziel bestimmt sind, an den Computer des Hackers senden, ebenso wie alle Daten, die für die legitime IP-Adresse bestimmt sind.

ARP Spoofing kann schwerwiegende Auswirkungen auf Unternehmen haben. In ihrer einfachsten Form können ARP-Spoofing-Attacken sensible Informationen stehlen. Die Angriffe können jedoch auch darüber hinausgehen und andere böswillige Aktionen erleichtern, darunter:

• Man-in-the-Middle-Angriffe
• Denial-of-Service-Angriffe
• Session Hijacking

Geschichte und Zukunft von ARP

ARP wurde erstmals im Request for Comments (RFC 826) vorgestellt und diskutiert, der im November 1982 von David C. Plummer veröffentlicht wurde. Das Problem der Adressauflösung war in den frühen Tagen der IP-Protokollsuite sofort offensichtlich, da sich Ethernet schnell zur bevorzugten LAN-Technologie entwickelte und Ethernet 48-Bit-Adressen benötigte.

In IPv6, das 128-Bit-Adressen nutzt, verwenden Netzwerkknoten das Neighbor Discovery Protocol, um Konfigurationsinformationen zu erhalten. Während IPv4-Adressen derzeit noch häufiger vorkommen, nimmt die Verwendung von IPv6 zu, was vor allem auf den Zustrom von Geräten des Internets der Dinge (IoT) zurückzuführen ist, die IP-Adressen benötigen. Neighbor Discovery arbeitet in der Sicherungsschicht (Schicht 2) des OSI-Modells und verwendet das Internet Control Message Protocol (ICMP) Version 6, um benachbarte Knoten zu ermitteln.