Wenn eine Maschine die IP-Adresse als ihre eigene erkennt, sendet sie eine Antwort, sodass ARP den Cache für zukünftige Referenzen aktualisieren und mit der Kommunikation fortfahren kann. Host-Rechner, die ihre eigene IP-Adresse nicht kennen, können das Reverse-ARP-Protokoll (RARP) zur Erkennung verwenden.ARP steht für Address Resolution Protocol. Es handelt sich um ein bereits im Jahr 1982 im RFC 826 standardisiertes Protokoll. Mithilfe des Protokolls lässt sich in einem lokalen Netzwerk die zu einer bestimmten IPv4-Adresse zugehörige physische MAC-Adresse ermitteln.In der ARP-Tabelle werden Informationen zu den Geräten angezeigt, auf die der Switch Zugriff hat. Es gibt vier Parameter: Schnittstelle – Zeigt den Schnittstellentyp an, mit dem das Gerät verbunden ist. IP-Adresse – Zeigt die aktuelle IP-Adresse des Geräts an.
Wann kommt ARP zum Einsatz : Das Address Resolution Protocol (ARP) wird verwendet, um IP-Adressen – die auf OSI- Schicht 2 arbeiten – auf Schicht-3-MAC-Adressen innerhalb eines Subnetzes abzubilden. Dies ist wichtig, um den Datenverkehr innerhalb eines Subnetzes an den richtigen Computer weiterzuleiten.
Wie funktioniert ARP-Spoofing
Der Cache wird auch als ARP-Tabelle bezeichnet, da die Adressen in Tabellenform gespeichert werden. Beim ARP-Spoofing geben sich die Angreifer, die Zugriff auf das LAN haben, als Host B aus. Sie schicken Nachrichten an Host A, um ihn dazu zu bringen, die Adresse der Angreifer als die Adresse von Host B zu speichern.
Hat ein Router eine ARP Tabelle : In einem Router können mehrere ARP-Tabellen gespeichert sein, je eine für jedes Netzwerksegment, mit dem er verbunden ist.
Während man bei einem RARP-Request die eigene MAC-Adresse kennt, aber die entsprechende IP-Adresse nachfragt, ist es beim ARP genau andersrum: Die IP-Adresse ist bekannt und die MAC-Adresse soll herausgefunden werden.
Bei der Adressauflösung via ARP ist grundsätzlich dahingehend zu unterscheiden, ob sich die IP-Adresse des Zielhosts im gleichen lokalen Netz oder in einem anderen Subnetz befindet. Soll also zu einer bestimmten IP- die MAC-Adresse zugeordnet werden, findet zunächst eine Inspektion der Subnetzmaske statt.
Wie funktioniert ARP-Spoofing und welche Voraussetzungen benötigt ein Angreifer
Beim ARP-Spoofing geben sich die Angreifer, die Zugriff auf das LAN haben, als Host B aus. Sie schicken Nachrichten an Host A, um ihn dazu zu bringen, die Adresse der Angreifer als die Adresse von Host B zu speichern. Am Ende schickt Host A die für Host B gedachte Kommunikation an die Angreifer.Durch Anbindung an ein Intrusion Detection System lässt sich eine entsprechende Warnung an den Systemverwalter ausgeben. ARP-Spoofing lässt sich zumeist gut erkennen, wenn man die ARP-Tabellen anschaut.Nur der Rechner mit einem Eintrag zu dieser Internet-Adresse antwortet auf diese Anfrage. Die Antwort (ARP-Reply) auf den ARP-Request wird in einem ARP-Cache gespeichert. Dieser Eintrag verbleibt in dieser Tabelle für eine bestimmte Zeit, bis er automatisch nach Ablauf des ARP-Timers gelöscht wird.
Wie viele Antworten erwartet ein Computer auf eine ARP-Anfrage hin Eine, nämlich die Antwort des Hosts mit der angefragten IP-Adresse.
Was ist der Unterschied zwischen ARP und RARP : Im Gegensatz zu RARP funktioniert inverses ARP jedoch genauso wie das herkömmliche ARP, nur dass es MAC-Adressen in IP-Adressen und nicht IP-Adressen in MAC-Adressen umwandelt. IARP ist besonders nützlich, wenn sich die IP-Adressen ständig ändern (was wiederum DHCP zu verdanken ist).
Welche Zieladresse wird in einer ARP Anforderung verwendet : ARP-Anfrage
Die ARP-Anforderung wird in einem Ethernet-Rahmen unter Verwendung der folgenden Header-Informationen eingekapselt: Ziel-MAC-Adresse – Dies ist eine Broadcast-Adresse FF-FF-FF-FF-FF-FF-FF, die alle Ethernet-NICs im LAN benötigt, um die ARP-Anforderung zu akzeptieren und zu verarbeiten.
Welche Sicherheitsrisiken entstehen bei der Verwendung von ARP
Als ARP-Spoofing (auch bekannt unter ARP-Poisoning) bezeichnet man Man-in-the-Middle-Angriffe auf die ARP-Tabellen lokaler Netzwerke. Bei dieser Angriffsform senden Hacker gefälschte ARP-Pakete, um sich unbemerkt zwischen zwei kommunizierende Systeme zu schalten und deren Datenverkehr abzuhören oder zu manipulieren.
Wie viele Antworten erwartet ein Computer auf eine ARP-Anfrage hin Eine, nämlich die Antwort des Hosts mit der angefragten IP-Adresse.