Im ersten Teil dieser Serie haben wir die Grundlagen von ARP (Address Resolution Protocol) behandelt. Nun betrachten wir die praktische Funktionsweise, den Aufbau von ARP-Paketen und zeigen, wie sich ARP im laufenden Netzwerkverkehr analysieren lässt.
ARP-Requests und ARP-Replies
Die Kommunikation mit ARP erfolgt in zwei Schritten:
- ARP-Request:
Ein Gerät fragt im Netzwerk: „Wer hat IP-Adresse X?“
→ Dies ist eine Broadcast-Nachricht an alle Geräte im lokalen Netzwerk. - ARP-Reply:
Das Gerät mit der IP-Adresse X antwortet mit seiner MAC-Adresse.
→ Dies ist eine Unicast-Nachricht nur an den Anfragenden.
Praxisbeispiel:
Wenn der Rechner 192.168.1.5 mit 192.168.1.1 kommunizieren möchte, aber dessen MAC-Adresse nicht kennt, wird zunächst ein ARP-Request gesendet.
Aufbau eines ARP-Pakets
Ein ARP-Paket enthält u. a.:
- Sender MAC-Adresse
- Sender IP-Adresse
- Ziel-MAC-Adresse (bei Request noch unbekannt)
- Ziel-IP-Adresse
Mit Wireshark lassen sich diese Felder im Detail untersuchen.
ARP-Tabellen und Caching
Um wiederholte Anfragen zu vermeiden, speichert jedes Gerät bekannte IP-MAC-Zuordnungen in einer ARP-Tabelle.
Unter Linux kann diese mit folgendem Befehl angezeigt werden:
ip neighUnter Windows lautet der Befehl:
arp -aAnalyse mit Wireshark
Mit Wireshark kann der ARP-Verkehr einfach gefiltert werden:
- Filter:
arp - Zeigt ARP-Requests und -Replies im Klartext an
Praxisbezug:
Mit einem kurzen Mitschnitt lässt sich leicht nachvollziehen, welche Geräte im Netzwerk aktiv kommunizieren.
Typische Szenarien im LAN
- Neues Gerät im Netzwerk: Sendet ARP-Requests, um das Gateway zu finden.
- Änderung von IP-Adressen: Führt zu neuen ARP-Requests, da sich MAC-Zuordnungen ändern.
- Zeitablauf im Cache: Veraltete Einträge werden nach einiger Zeit entfernt und neu angefragt.
Schreibe einen Kommentar