ARP - Address Resolution Protocol einfach erklärt

Stell dir vor, du möchtest eine E-Mail an einen Kollegen im gleichen Büronetzwerk schicken. Dein Computer kennt die IP-Adresse des Empfängers, aber im lokalen Netzwerk werden Datenpakete auf Layer 2 über MAC-Adressen verschickt. Wie findet dein Computer nun die MAC-Adresse zur IP-Adresse? Genau hier kommt ARP ins Spiel – das Address Resolution Protocol.

Was ist ARP?

ARP (Address Resolution Protocol) ist ein Netzwerkprotokoll, das IP-Adressen (Layer 3) in MAC-Adressen (Layer 2) auflöst.

• Arbeitet auf Layer 2/3: ARP vermittelt zwischen der Netzwerkschicht (IP) und der Sicherungsschicht (Ethernet)
• Lokales Netzwerk: ARP funktioniert nur innerhalb eines Broadcast-Domänen-Segments
• Automatisch und transparent: Das Betriebssystem kümmert sich automatisch um ARP – du merkst im Alltag nichts davon

Ohne ARP wüssten Geräte im lokalen Netzwerk nicht, an welche physische MAC-Adresse sie ihre Ethernet-Frames schicken sollen, auch wenn sie die Ziel-IP-Adresse kennen.

Warum brauchen wir ARP?

Das Problem

• IP-Adressen werden auf Layer 3 (Netzwerkschicht) verwendet – sie sind logisch und routbar
• MAC-Adressen werden auf Layer 2 (Sicherungsschicht) verwendet – sie sind physisch und lokal

Um ein Paket im lokalen Netzwerk zu verschicken, brauchst du beides:

• Die Ziel-IP-Adresse, um zu wissen, wohin das Paket soll
• Die Ziel-MAC-Adresse, um den Ethernet-Frame korrekt zu adressieren

Die Lösung

ARP übersetzt IP-Adressen in MAC-Adressen, sodass die Kommunikation im lokalen Netzwerk funktioniert.

Wie funktioniert ARP?

Der ARP-Request (Anfrage)

1. Computer A (192.168.1.10) möchte mit Computer B (192.168.1.20) kommunizieren
2. Computer A schaut in seine ARP-Tabelle – ist die MAC-Adresse von 192.168.1.20 bekannt?
3. Falls nicht: Computer A sendet einen ARP-Request als Broadcast:
   • “Wer hat die IP-Adresse 192.168.1.20? Bitte melde dich bei 192.168.1.10 mit MAC-Adresse AA:BB:CC:DD:EE:FF”

Der Broadcast bedeutet: Alle Geräte im lokalen Netzwerk empfangen diese Anfrage.

Der ARP-Reply (Antwort)

1. Alle Geräte im Netzwerk empfangen den ARP-Request
2. Computer B erkennt seine eigene IP-Adresse (192.168.1.20) in der Anfrage
3. Computer B antwortet direkt (Unicast) an Computer A:
   • “Hallo 192.168.1.10, ich bin 192.168.1.20 und meine MAC-Adresse ist 11:22:33:44:55:66”

Die ARP-Tabelle

Computer A speichert diese Information in seiner ARP-Tabelle (ARP-Cache):

IP-Adresse       MAC-Adresse           Typ
192.168.1.20     11:22:33:44:55:66     dynamisch
192.168.1.1      AA:AA:AA:AA:AA:AA     dynamisch

Beim nächsten Mal, wenn Computer A mit 192.168.1.20 kommunizieren will, schaut er einfach in seiner ARP-Tabelle nach – kein neuer ARP-Request nötig.

ARP-Cache und Ablaufzeiten

Cache-Dauer

Die Einträge im ARP-Cache bleiben nicht ewig bestehen:

• Windows: Standardmäßig 2 Minuten für ungenutzte Einträge, bis zu 10 Minuten für aktiv genutzte
• Linux: Standardmäßig zwischen 60 und 120 Sekunden
• Cisco-Switches: Typischerweise 4 Stunden (14400 Sekunden)

Warum ablaufen?

• Geräte können das Netzwerk verlassen oder ihre IP-Adresse ändern
• Netzwerkkarten können ausgetauscht werden (neue MAC-Adresse)
• Der Cache würde sonst mit veralteten Informationen überlaufen

ARP-Tabelle anzeigen

Windows:

arp -a

Linux/macOS:

arp -n
# oder
ip neigh show

Cisco:

show arp
# oder
show ip arp

Gratuitous ARP (GARP)

Gratuitous ARP ist ein spezieller ARP-Request, bei dem ein Gerät seine eigene IP-Adresse abfragt.

Warum?

• IP-Adress-Konflikt-Erkennung: Beim Hochfahren prüft ein Gerät, ob seine IP-Adresse bereits verwendet wird
• Cache-Update: Wenn sich die MAC-Adresse eines Geräts ändert (z. B. nach NIC-Wechsel), informiert GARP alle Geräte im Netzwerk
• Redundanz-Szenarien: In VRRP/HSRP-Umgebungen signalisiert der neue aktive Router seine Übernahme

Beispiel

Computer mit IP 192.168.1.10 sendet:

• “Wer hat 192.168.1.10? Ich bin 192.168.1.10 mit MAC AA:BB:CC:DD:EE:FF”

Alle Geräte im Netzwerk hören dies und aktualisieren ihren ARP-Cache entsprechend.

Proxy ARP

Proxy ARP ist eine Technik, bei der ein Router oder Gateway ARP-Anfragen für Geräte in einem anderen Netzwerk beantwortet.

Funktionsweise

1. Computer A (192.168.1.10/24) möchte mit 192.168.1.150 kommunizieren
2. Computer A denkt, 192.168.1.150 sei im gleichen Subnetz (falsche Subnetzmaske)
3. Computer A sendet einen ARP-Request für 192.168.1.150
4. Der Router empfängt die Anfrage und weiß, dass 192.168.1.150 in einem anderen Netzwerk liegt
5. Der Router antwortet mit seiner eigenen MAC-Adresse (Proxy ARP)
6. Computer A sendet alle Pakete für 192.168.1.150 an die MAC-Adresse des Routers
7. Der Router leitet die Pakete korrekt weiter

Wann wird Proxy ARP verwendet?

• Bei fehlerhaften Subnetzmasken-Konfigurationen
• In älteren Netzwerken ohne korrekte Gateway-Konfiguration
• In manchen VPN- und Tunneling-Szenarien

Nachteil

• Kann fehlerhafte Konfigurationen verdecken
• Erhöht den ARP-Traffic
• Viele Administratoren deaktivieren Proxy ARP bewusst

ARP in verschiedenen Szenarien

Kommunikation im lokalen Netz

Computer A (192.168.1.10) → Computer B (192.168.1.20):

• ARP-Request für 192.168.1.20
• ARP-Reply von Computer B
• Direkte Kommunikation über MAC-Adresse

Kommunikation über Router

Computer A (192.168.1.10/24) → Server im Internet (8.8.8.8):

1. Computer A erkennt, dass 8.8.8.8 nicht im lokalen Netz ist
2. Computer A sendet ARP-Request für das Standard-Gateway (z. B. 192.168.1.1)
3. Router antwortet mit seiner MAC-Adresse
4. Computer A schickt alle Pakete für 8.8.8.8 an die MAC-Adresse des Routers
5. Der Router routet die Pakete weiter

Sicherheitsprobleme: ARP-Spoofing und ARP-Poisoning

Das Problem

ARP hat keine Authentifizierung – jedes Gerät kann ARP-Replies senden, auch unaufgefordert.

ARP-Spoofing-Angriff

1. Angreifer sendet gefälschte ARP-Replies:
   • “Ich bin 192.168.1.1 (das Gateway) und meine MAC-Adresse ist XX:XX:XX:XX:XX:XX” (die MAC des Angreifers)
2. Alle Geräte im Netzwerk aktualisieren ihren ARP-Cache mit der falschen Information
3. Der gesamte Traffic zum Gateway läuft nun über den Angreifer
4. Der Angreifer kann den Traffic mitlesen (Man-in-the-Middle) oder manipulieren

Folgen

• Datendiebstahl: Passwörter, Zugangsdaten, vertrauliche Informationen
• Session Hijacking: Übernahme aktiver Verbindungen
• Denial of Service: Gezieltes Stören der Netzwerkkommunikation

Schutzmaßnahmen

1. Dynamic ARP Inspection (DAI)

• Switch-Feature, das ARP-Pakete validiert
• Nur vertrauenswürdige ARP-Informationen werden weitergeleitet
• Siehe: Dynamic ARP Inspection einfach erklärt

2. Statische ARP-Einträge

• Manuelle Konfiguration von IP-MAC-Zuordnungen
• Praktisch nur für kritische Geräte (Gateway, Server)

# Linux
arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

# Windows
arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff

3. ARP-Monitoring-Tools

• Tools wie Arpwatch (Linux) oder XArp (Windows) überwachen ARP-Traffic
• Warnung bei verdächtigen Änderungen

4. Port Security

• Switch-Feature, das die Anzahl erlaubter MAC-Adressen pro Port begrenzt
• Verhindert, dass ein Angreifer viele gefälschte MAC-Adressen nutzt

5. Private VLANs

• Isolation von Endbenutzern untereinander
• Reduziert die Angriffsfläche

ARP-Befehle in der Praxis

Windows

# ARP-Tabelle anzeigen
arp -a

# Einzelnen Eintrag anzeigen
arp -a 192.168.1.1

# ARP-Cache löschen
arp -d

# Statischen Eintrag hinzufügen
arp -s 192.168.1.1 aa-bb-cc-dd-ee-ff

Linux

# ARP-Tabelle anzeigen
arp -n
ip neigh show

# ARP-Cache löschen
sudo ip neigh flush all

# Einzelnen Eintrag löschen
sudo arp -d 192.168.1.20

# Statischen Eintrag hinzufügen
sudo arp -s 192.168.1.1 aa:bb:cc:dd:ee:ff

Cisco

# ARP-Tabelle anzeigen
show arp
show ip arp

# ARP-Eintrag löschen
clear arp 192.168.1.20
clear ip arp

# ARP-Timeout einstellen (Sekunden)
interface GigabitEthernet0/1
  arp timeout 7200

Troubleshooting mit ARP

Problem: Gerät nicht erreichbar

1. Ping funktioniert nicht
2. ARP-Tabelle prüfen:

   arp -a | grep 192.168.1.20

3. Wenn kein Eintrag vorhanden: ARP-Request wird nicht beantwortet
   • Gerät ist offline oder hat falsche IP-Konfiguration
   • Firewall blockiert ARP (sehr selten)
   • Falsches VLAN

Problem: Doppelte IP-Adresse

1. Windows zeigt “IP-Adresskonflikt erkannt”
2. ARP-Tabelle zeigt möglicherweise wechselnde MAC-Adressen
3. Lösung:
   • Eine der beiden Geräte muss neue IP bekommen
   • DHCP-Konfiguration prüfen
   • Statische IP-Adressen dokumentieren

Problem: Langsame Verbindung nach IP-Wechsel

1. Gateway hat noch alte MAC-Adresse im Cache
2. Lösung:
   • Gratuitous ARP senden (meist automatisch)
   • Oder ARP-Cache auf Gateway manuell löschen

ARP vs. NDP (IPv6)

In IPv6-Netzwerken wird ARP durch NDP (Neighbor Discovery Protocol) ersetzt:

• ARP: Für IPv4
• NDP: Für IPv6, basiert auf ICMPv6

NDP ist sicherer als ARP und bietet mehr Funktionen, aber das Grundprinzip (IP zu MAC auflösen) bleibt gleich.

Best Practices

Für Administratoren

1. Dynamic ARP Inspection aktivieren: Auf allen Access-Switches, besonders in Benutzernetzwerken
2. DHCP Snooping nutzen: DAI basiert auf der DHCP Snooping Database
3. ARP-Monitoring einrichten: Automatische Benachrichtigung bei verdächtigen Änderungen
4. Port Security konfigurieren: Begrenzt die Anzahl MAC-Adressen pro Port
5. Netzwerk segmentieren: Kleinere Broadcast-Domänen reduzieren ARP-Traffic und Angriffsfläche

Für Entwickler und Power-User

1. ARP-Cache bei Netzwerkproblemen leeren: Oft hilft ein frischer ARP-Cache
2. Gratuitous ARP nach IP/MAC-Änderungen: Sorgt für schnelle Cache-Updates im Netzwerk
3. Statische ARP nur für kritische Verbindungen: Zu viele statische Einträge machen das Netzwerk unflexibel

Typische Fehler und Probleme

ARP-Flood

Zu viele ARP-Requests können einen Switch überlasten:

• Ursache: Fehlkonfiguration, DoS-Angriff, oder veraltete Hardware
• Lösung: Rate Limiting für ARP-Traffic, Storm Control

ARP-Tabelle voll

Switches haben begrenzte ARP-Tabellen:

• Ursache: Zu viele Geräte im gleichen VLAN/Subnetz
• Lösung: Netzwerk in kleinere Subnetze aufteilen, VLANs nutzen

ARP-Timeout zu kurz

Ständige ARP-Requests belasten das Netzwerk:

• Lösung: ARP-Timeout auf Switches erhöhen (z. B. auf 4 Stunden)

Fazit

ARP ist ein grundlegendes Protokoll, das in jedem Ethernet-Netzwerk mit IPv4 läuft. Es übersetzt IP-Adressen in MAC-Adressen und ermöglicht so die Kommunikation auf Layer 2. Obwohl ARP automatisch und transparent funktioniert, ist es wichtig, die Funktionsweise zu verstehen – besonders wenn es um Troubleshooting oder Sicherheit geht.

Die größte Schwachstelle von ARP ist die fehlende Authentifizierung: Jeder kann gefälschte ARP-Replies senden. Deshalb sind Schutzmaßnahmen wie Dynamic ARP Inspection (DAI), DHCP Snooping und Port Security in modernen Netzwerken unverzichtbar.

Für Administratoren gilt: ARP mag ein “alter Hut” sein, aber ein solides Verständnis dieses Protokolls hilft dir, Netzwerkprobleme schneller zu lösen und Sicherheitslücken zu schließen. Und vergiss nicht: In IPv6-Netzwerken übernimmt NDP die Rolle von ARP – mit mehr Sicherheit und zusätzlichen Features.

Verwandte Artikel

• Dynamic ARP Inspection (DAI) einfach erklärt - Erfahren Sie, wie DAI ARP-Spoofing-Angriffe verhindert.
• DHCP Snooping einfach erklärt - Lernen Sie, wie DHCP Snooping vor unerwünschten DHCP-Servern schützt.
• VLANs einfach erklärt - Verstehen Sie, wie VLANs Broadcast-Domänen und damit ARP-Traffic begrenzen.