Was ist ein Address Resolution Protocol (ARP)? | Fortinet (2024)

Das Address Resolution Protocol (ARP) ist ein Protokoll oder Verfahren, das eine sich ständig ändernde IP-Adresse (Internet Protocol) mit einer festen physischen Maschinenadresse, auch bekannt als MAC-Adresse (Media Access Control), in einem lokalen Netzwerk (LAN) verbindet.

Dieses Mapping-Verfahren ist wichtig, weil die Längen der IP- und MAC-Adressen unterschiedlich sind und eine Übersetzung erforderlich ist, damit sich die Systeme gegenseitig erkennen können. Aktuell wird die IP-Version 4 (IPv4) am häufigsten verwendet. Eine IP-Adresse ist 32 Bit lang. MAC-Adressen sind jedoch 48 Bit lang. ARP übersetzt die 32-Bit-Adresse in 48 und umgekehrt.

Es gibt ein Netzwerkmodell, das als Open Systems Interconnection (OSI)-Modell bekannt ist. Das OSI-Modell wurde Ende der 70er Jahre entwickelt und verwendet Ebenen, um IT-Teams eine Visualisierung dessen zu geben, was in einem bestimmten Netzwerksystem passiert. Dies kann bei der Bestimmung hilfreich sein, welche Ebene sich auf welche im Netzwerk installierte Anwendung, Ausrüstung oder Software auswirkt, und des Weiteren, welcher IT- oder Technik-Experte für die Verwaltung dieser Ebene verantwortlich ist.

Die MAC-Adresse wird auch als Datalink-Ebene bezeichnet, die eine Verbindung zur Übertragung von Daten zwischen zwei physisch verbundenen Geräten herstellt und terminiert. Die IP-Adresse wird auch als Netzwerk-Ebene oder die Ebene bezeichnet, die für die Weiterleitung von Datenpaketen über verschiedene Router verantwortlich ist. ARP arbeitet zwischen diesen Ebenen.

Wenn ein neuer Computer einem LAN beitritt, wird ihm eine eindeutige IP-Adresse zur Identifizierung und Kommunikation zugewiesen.

Datenpakete, die für einen bestimmten Host-Computer bestimmt sind, kommen an einem Gateway an. Das Gateway oder ein Stück Hardware in einem Netzwerk, das es Daten ermöglicht, von einem Netzwerk zu einem anderen zu fließen, bittet das ARP-Programm, eine MAC-Adresse zu finden, die mit der IP-Adresse übereinstimmt. Der ARP-Cache speichert eine Aufzeichnung jeder IP-Adresse und der mit ihr übereinstimmenden MAC-Adresse. Der ARP-Cache ist dynamisch, aber Benutzer in einem Netzwerk können auch eine statische ARP-Tabelle konfigurieren, die IP-Adressen und MAC-Adressen enthält.

ARP-Caches sind auf allen Betriebssystemen in einem IPv4-Ethernet-Netzwerk zu finden. Jedes Mal, wenn ein Gerät eine MAC-Adresse auffordert, Daten an ein anderes Gerät zu senden, das mit dem LAN verbunden ist, überprüft das Gerät seinen ARP-Cache, um zu sehen, ob die Verbindung zwischen IP- und MAC-Adresse bereits existiert. Wenn sie existiert, dann ist eine neue Aufforderung unnötig. Wenn die Übersetzung jedoch noch nicht durchgeführt wurde, wird die Anfrage nach Netzwerkadressen gesendet und ARP wird ausgeführt.

Die Größe eines ARP-Cache ist absichtlich begrenzt, und Adressen bleiben meist nur ein paar Minuten im Cache. Er wird regelmäßig bereinigt, um Platz freizugeben. Dieses Design ist auch für die Privatsphäre und Sicherheit bestimmt, um zu verhindern, dass IP-Adressen von Cyberangreifern gestohlen oder gefälscht werden. Während MAC-Adressen festgelegt sind, ändern sich IP-Adressen ständig.

Beim Bereinigungsprozess werden nicht verwendete Adressen gelöscht, ebenso wie alle Daten, die mit erfolglosen Versuchen in Zusammenhang stehen, mit Computern zu kommunizieren, die nicht mit dem Netzwerk verbunden oder nicht einmal eingeschaltet sind.

ARP ist der Prozess der Verbindung einer dynamischen IP-Adresse mit der MAC-Adresse einer physischen Maschine. Daher ist es wichtig, sich ein paar Technologien im Zusammenhang mit IP anzusehen.

Wie bereits erwähnt, sind IP-Adressen dazu bestimmt, sich ständig aus dem einfachen Grund zu ändern, dass dies Benutzern Sicherheit und Privatsphäre gibt. IP-Adressen sollten jedoch nicht vollständig zufällig sein. Es sollte Regeln geben, die eine IP-Adresse aus einem definierten Bereich von Zahlen zuordnen, die in einem bestimmten Netzwerk verfügbar sind. Dies hilft, Probleme zu vermeiden, wie z. B., dass zwei Computer dieselbe IP-Adresse erhalten. Die Regeln sind als DHCP oder Dynamic Host Configuration Protocol bekannt.

IP-Adressen als Identitäten für Computer sind wichtig, da sie für die Durchführung einer Internetsuche benötigt werden. Wenn Benutzer nach einem Domänennamen oder Uniform Resource Locator (URL) suchen, verwenden sie einen alphabetischen Namen. Computer hingegen verwenden die numerische IP-Adresse, um den Domänennamen einem Server zuzuordnen. Um die beiden zu verbinden, wird ein Domain Name System (DNS)-Server verwendet, um eine IP-Adresse aus einer verwirrenden Reihe von Zahlen in einen lesbareren, leicht verständlichen Domänennamen zu übersetzen und umgekehrt.

ARP ist notwendig, weil die Softwareadresse (IP-Adresse) des mit dem Netzwerk verbunden Hosts oder Computers in eine Hardwareadresse (MAC-Adresse) übersetzt werden muss. Ohne ARP wäre ein Host nicht in der Lage, die Hardware-Adresse eines anderen Hosts herauszufinden. Das LAN führt eine Tabelle oder ein Verzeichnis, das die IP-Adressen auf die MAC-Adressen der verschiedenen Geräte abbildet, einschließlich beider Endpunkte und des Routers in diesem Netzwerk.

Diese Tabelle oder dieses Verzeichnis wird nicht von Benutzern oder sogar von IT-Administratoren verwaltet. Stattdessen erstellt das ARP-Protokoll Einträge spontan. Wenn das Gerät eines Benutzers die Hardwareadresse des Zielhosts nicht kennt, sendet das Gerät eine Nachricht an jeden Host im Netzwerk und fragt nach dieser Adresse. Wenn der richtige Ziel-Host die Anfrage erhält, antwortet er mit seiner Hardwareadresse, die dann im ARP-Verzeichnis oder der Tabelle gespeichert wird.

Wenn ARP nicht unterstützt wird, können manuelle Einträge in diesem Verzeichnis vorgenommen werden.

ARP-Spoofing ist auch als ARP Poison Routing oder ARP Cache Poisoning bekannt. Dies ist eine Art von Angriff, bei dem ein Cyberkrimineller gefälschte ARP-Nachrichten an ein LAN sendet, um seine MAC-Adresse mit der IP-Adresse eines legitimen Geräts oder Servers innerhalb des Netzwerks zu verknüpfen. Der Link ermöglicht es, dass Daten vom Computer des Opfers an den Computer des Angreifers anstatt an das ursprüngliche Ziel gesendet werden.

ARP-Spoofing-Angriffe können sich als gefährlich erweisen, da sensible Informationen ohne das Wissen des Opfers zwischen Computern weitergegeben werden können. ARP-Spoofing ermöglicht auch andere Formen von Cyberangriffen, einschließlich der folgenden:

Ein Man-in-the-Middle (MITM)-Angriff ist eine Art Lauschangriff, bei dem der Cyberangreifer Nachrichten zwischen zwei Parteien – die keine Ahnung haben, dass ein Dritter beteiligt ist– zum Stehlen von Informationen abfangen, weiterleiten und ändern kann. Der Angreifer kann versuchen, die Nachrichten einer oder beider Parteien zu kontrollieren und zu manipulieren, um sensible Informationen zu erhalten. Da bei diesen Arten von Angriffen ausgeklügelte Software zum Einsatz kommt, um den Stil und Ton der Gespräche nachzuahmen – einschließlich derjenigen, die text- und sprachbasiert sind –, ist ein MITM-Angriff schwer abzufangen und zu vereiteln.

Ein MITM-Angriff kommt vor, wenn Malware verteilt wird und die Kontrolle über den Webbrowser eines Opfers übernimmt. Der Browser selbst ist nicht wichtig für den Angreifer, die vom Opfer geteilten Daten hingegen schon, denn sie können Benutzernamen, Passwörter, Kontonummern und andere sensible Informationen enthalten, die in Chats und Online-Diskussionen geteilt werden.

Sobald er die Kontrolle hat, erstellt der Angreifer einen Proxy zwischen dem Opfer und einer legitimen Website, in der Regel mit einer gefälschten Lookalike-Website, um alle Daten zwischen dem Opfer und der legitimen Website abzufangen. Angreifer tun dies mit Online-Banking- und E-Commerce-Websites, um persönliche Informationen und Finanzdaten zu erfassen.

Ein Denial-of-Service (DoS)-Angriff ist ein Angriff, bei dem ein Cyberangreifer versucht, Systeme, Server und Netzwerke mit Datenverkehr zu überwältigen, um zu verhindern, dass Benutzer auf sie zugreifen. Ein größer angelegter DoS-Angriff wird als DDoS-Angriff (Distributed Denial-of-Service) bezeichnet, bei dem eine viel größere Anzahl von Quellen verwendet wird, um ein System mit Datenverkehr zu überfluten.

Diese Arten von Angriffen nutzen bekannte Schwachstellen in Netzwerkprotokollen aus. Wenn eine große Anzahl von Paketen an ein anfälliges Netzwerk übertragen wird, kann der Dienst leicht überwältigt werden und dann nicht mehr verfügbar sein.

Session-Hijacking kommt vor, wenn ein Cyberangreifer die Session-ID eines Benutzers stiehlt, die Web-Session dieses Benutzers übernimmt und sich als diesen Benutzer ausgibt. Da sich die Session-ID in seinem Besitz befindet, kann der Angreifer jede Aufgabe oder Aktivität ausführen, zu der der Benutzer in diesem Netzwerk berechtigt ist.

Die Authentifizierung erfolgt, wenn ein Benutzer versucht, Zugang zu einem System zu erhalten oder sich bei einer eingeschränkten Website oder Web-Dienstleistung anzumelden. Die Session-ID wird in einem Cookie im Browser gespeichert, und ein Angreifer, der sich mit Session-Hijacking befasst, fängt den Authentifizierungsprozess ab und dringt in Echtzeit ein.

Die Network Access Control (NAC)-Lösung von Fortinet bietet verbesserte Transparenz über alle Geräte in einem Netzwerk hinweg, um mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten. NAC ist Teil des Zero-Trust-Netzwerkzugangsmodells für die Sicherheit. Ihr zu vertrauen ist für Benutzer, Anwendungen oder Geräte nicht selbstverständlich, unabhängig davon, ob sie mit dem Netzwerk verbunden sind oder nicht, denn dieses Vertrauen muss erst aufgebaut werden.

Jedes Gerät in einem Netzwerk pflegt eine Kopie des ARP-Caches, und der Cache wird alle paar Minuten gereinigt. Daher muss für die Sicherheit aller Geräte gesorgt werden, die mit diesem Netzwerk verbunden sind, sodass wichtige Daten, einschließlich IP-Adressen, nicht kompromittiert werden. Um Ihre Netzwerkgeräte und Server noch besser zu schützen, sichern die Ethernet LAN-Switches von Fortinet die Infrastruktur einer Organisation und enthalten sogar ein Auswahltool, um den besten Switch zur Erfüllung der Netzwerkanforderungen zu identifizieren.