Wenn ein Paket zu einem bestimmten Gerät geroutet werden muss, sucht der Switch in der ARP-Tabelle nach der IP-Adresse des Geräts, um die MAC-Adresse des Zielgeräts zu erhalten. Die ARP-Tabelle enthält nützliche Informationen zu den verschiedenen verbundenen Geräten.Wenn die IP-Adresse übereinstimmt schickt die betreffende Station eine ARP-Antwort direkt an den Sender der ARP-Anfrage. Dieser speichert die Hardware-Adresse in seinem Cache. Da bei beiden Stationen die Hardware-Adresse bekannt sind, können sie nun miteinander Daten austauschen.Dieses Protokoll wird benötigt, um innerhalb eines Local Area Network (LAN) Datenpakete zwischen einzelnen Hosts zu verschicken. Dem IPv4 Protokoll fehlt aufgrund seiner beschränkten Länge die Möglichkeit, die Geräteadresse zu speichern. Deshalb wird das ARP und dessen Cache Mechanismus hierfür genutzt.
Wie erkennt man ARP-Spoofing : Durch Anbindung an ein Intrusion Detection System lässt sich eine entsprechende Warnung an den Systemverwalter ausgeben. ARP-Spoofing lässt sich zumeist gut erkennen, wenn man die ARP-Tabellen anschaut.
Was ist ARP einfach erklärt
Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das zu einer Netzwerkadresse der Internetschicht die physische Adresse (Hardware-Adresse) der Netzzugangsschicht ermittelt und diese Zuordnung gegebenenfalls in den ARP-Tabellen der beteiligten Rechner hinterlegt.
Was kann ARP : Der ARP-Cache speichert eine Aufzeichnung jeder IP-Adresse und der mit ihr übereinstimmenden MAC-Adresse. Der ARP-Cache ist dynamisch, aber Benutzer in einem Netzwerk können auch eine statische ARP-Tabelle konfigurieren, die IP-Adressen und MAC-Adressen enthält.
Das Ziel eines ARP-Spoofing-Angriffs
ARP-Spoofing-Angriffen dienen mehreren Zwecken, zum Beispiel dem Abhören von Nachrichten, MITM-Angriffen (Man-in-the-Middle) oder anderen Cyberangriffen (z. B. DoS-Angriffe (Denial of Service)).
Beim ARP-Spoofing sendet ein Angreifer ARP-Antwort Pakete an gewählte Netzwerkteilnehmer und verändert so deren ARP-Tabelle um jeglichen Netzwerkverkehr mitlesen und ggf. manipulieren zu können.
Wie funktioniert das ARP Protokoll
Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das zu einer Netzwerkadresse der Internetschicht die physische Adresse (Hardware-Adresse) der Netzzugangsschicht ermittelt und diese Zuordnung gegebenenfalls in den ARP-Tabellen der beteiligten Rechner hinterlegt.Während man bei einem RARP-Request die eigene MAC-Adresse kennt, aber die entsprechende IP-Adresse nachfragt, ist es beim ARP genau andersrum: Die IP-Adresse ist bekannt und die MAC-Adresse soll herausgefunden werden.Als ARP-Spoofing (auch bekannt unter ARP-Poisoning) bezeichnet man Man-in-the-Middle-Angriffe auf die ARP-Tabellen lokaler Netzwerke. Bei dieser Angriffsform senden Hacker gefälschte ARP-Pakete, um sich unbemerkt zwischen zwei kommunizierende Systeme zu schalten und deren Datenverkehr abzuhören oder zu manipulieren.