Getty Images/iStockphoto

ARP vs. RARP: Was ist der Unterschied?

Netzwerkgeräte verwenden ARP, um IP-Adressen MAC-Adressen zuzuordnen. Das weniger verbreitete RARP erreicht das Gegenteil und ermöglicht es, MAC-Adressen IP-Adressen zuzuweisen.

Wenn Geräte über ein Netzwerk kommunizieren, teilt die Netzwerkkarte des sendenden Geräts die Daten in Frames auf. Die Frames enthalten die Quell- und Ziel-MAC-Adressen, die auch als physische Adressen bezeichnet werden.

Die Ziel-MAC-Adresse gibt den nächsten physischen Sprung im Datenübertragungsprozess an. Die Quell-MAC-Adresse ist die eindeutige Kennung der NIC des Geräts, das das Paket gesendet hat. Datenübertragungen enthalten auch die IP-Adressen der Quell- und Zielgeräte. Das Quellgerät kennt seine eigenen MAC- und IP-Adressen, muss aber die Adressen des Zielgeräts ermitteln.

Das Address Resolution Protocol (ARP) liefert diese Informationen, da es physische MAC-Adressen auf logische IP-Adressen abbildet. Im Gegensatz dazu bewirkt Reverse ARP (RARP) das Gegenteil von ARP. RARP ermöglicht es Netzwerkknoten ohne IP-Adresse, eine solche anzufordern. RARP ist jedoch veraltet und wird in modernen Netzwerken nur noch selten verwendet.

ARP erklärt

ARP ermöglicht es Systemen, physische MAC-Adressen mit logischen IP-Adressen zu verknüpfen. Wenn MAC-Adressen und IP-Adressen miteinander korrelieren, können Netzwerkknoten Daten effizient an ihr Ziel weiterleiten.

Die Informationen zur Host-Identität umfassen die MAC-Adresse und die IP-Adresse.
Abbildung 1: Die Informationen zur Host-Identität umfassen die MAC-Adresse und die IP-Adresse.

Wenn ein Gerät bereit ist, Daten an ein anderes zu senden, verwendet es DNS, um den Hostnamen des Ziels in eine IP-Adresse zu übersetzen. Anschließend nutzt es ARP, um die MAC-Adresse zu finden, die mit dieser IP-Adresse verbunden ist. Der Daten-Frame enthält beide Adressen.

ARP sendet eine Anfrage an das lokale Segment, um eine Frage wie "Wer hat diese IP-Adresse?" zu stellen. Das System mit der passenden IP-Adresse antwortet mit seiner MAC-Adresse. Das Quellgerät speichert außerdem automatisch die MAC- und IP-Adresszuordnungen für die zukünftige Verwendung.

RARP erklärt

RARP erreicht das entgegengesetzte Ziel von ARP: Geräte verwenden RARP, wenn sie ihre MAC-Adressen kennen, aber IP-Adressen beziehen müssen. RARP wurde ursprünglich als Möglichkeit für Diskless-Systeme ohne permanenten Speicher entwickelt, um IP-Adressen zu erhalten.

Im Gegensatz zu ARP, das Teil der meisten Netzwerkübertragungen ist, verschwand RARP weitgehend aus der Nutzung moderner Netzwerke. Das Dynamic Host Configuration Protocol (DHCP), das IP-Adressen an Netzwerkgeräte und -knoten zuweist, hat die meisten Funktionen von RARP in modernen Netzwerken ersetzt. DHCP ist flexibler, benutzerfreundlicher sowie automatischer als RARP und verfügt über weitere verbesserte Funktionen.

So verwenden Sie arp-Befehle, um MAC-Adressinformationen anzuzeigen

Mit dem Befehl arp können Netzwerkadministratoren den ARP-Cache ihres Systems einsehen und verwalten. Dieser Befehl enthält mehrere Optionen, die sich nach den Bedürfnissen der Netzwerkadministratoren richten. Netzwerkadmins verwenden ARP häufig, um die zwischengespeicherten Zuordnungen von MAC-Adressen zu IP-Adressen anzuzeigen. Sie können auch manuell Zuordnungen hinzufügen und entfernen.

Zu den ARP-Befehlen gehören:

  • arp -a  : Zeigt den ARP-Cache an.
  • arp -s {ip} {mac}  : Konfigurieren einer statischen Zuordnung.
  • arp -d {ip}  : Entfernen eines statischen Mappings.
Mit dem Befehl arp -a wird der aktuelle ARP-Cache angezeigt.
Abbildung 2: Mit dem Befehl arp -a wird der aktuelle ARP-Cache angezeigt.

Verwenden die den Befehl arp -? für die Hilfe- und Parameterübersicht des Programms.

Obwohl Netzwerkadministratoren IP- und MAC-Adressen statisch zuordnen können, ist dies in der Regel nicht notwendig, es sei denn, sie müssen Einträge ändern.

Der arp-Befehl ist nützlich für die Fehlersuche im Netzwerk, insbesondere wenn sich viele IP-Adressen im Segment kürzlich geändert haben. In diesem Fall könnten Netzwerkprofis befürchten, dass das lokale System eine veraltete MAC-zu-IP-Adresszuordnung in seinem Cache aufbewahrt, wodurch Daten an das falsche Zielsystem gesendet werden könnten.

Netzwerkadministratoren können bestimmte Zuordnungen aus dem Cache löschen, aber in der Regel ist es einfacher, sie zu entfernen. ARP-Abfragen überlasten moderne Netzwerke nicht, so dass es kein Problem ist, Clients zu zwingen, viele MAC-Adressen erneut zu speichern.

Der ARP-Cache, der Befehl zum Löschen des Caches und der neu gefüllte Cache.
Abbildung 3: Der ARP-Cache, der Befehl zum Löschen des Caches und der neu gefüllte Cache.

ARP mit anderen Tools zur Fehlersuche im Netzwerk verwenden

Paket-Sniffer, wie Wireshark und tcpdump, sind nützlich, um MAC-Adressen zu finden oder anzuzeigen. Diese Tools fangen den Netzwerk-Traffic ab und zeigen ihn an. Sie sind vor allem dafür bekannt, dass sie die Benutzerdaten anzeigen können, die über ein Netzwerk übertragen werden.

Wireshark und tcpdump können auch die Header-Informationen des Daten-Frames anzeigen, die sowohl Quell- als auch Ziel-MAC- und IP-Adressen enthalten. Netzwerkadministratoren nutzen diese Informationen, um falsch konfigurierte oder gefälschte Knoten zu identifizieren.

MAC-Adressen werden sowohl aus legitimen als auch aus böswilligen Gründen gefälscht. Beim Spoofing wird die tatsächliche MAC-Adresse der Netzwerkkarte zugunsten einer gefälschten Adresse verborgen. Dies kann die Privatsphäre schützen, aber auch den Netzwerk-Traffic zu einem nicht autorisierten Knoten umleiten. Wenn Netzwerkadministratoren Tools wie Wireshark mit ARP kombinieren, können sie gefälschte Geräte erkennen und gegebenenfalls entfernen.

Der Netzwerk-Scanner Nmap zeigt bei den Standard-Scans keine MAC-Adressinformationen an. Es kann jedoch nützlich sein, Knoten im Netzwerk mit Nmap zu identifizieren und sie mit den arp-Befehlen den Ergebnissen zuzuordnen.

Fazit

RARP ist aufgrund der verbesserten Konfigurierbarkeit von DHCP weitgehend aus den heutigen Netzwerken verschwunden. ARP ist jedoch immer noch ein wichtiger Bestandteil der IPv4-Kommunikation. Die beiden Protokolle scheinen ähnliche Ziele zu verfolgen, aber sie unterscheiden sich erheblich.

Die meisten IPv4-basierten Netzwerkübertragungen beginnen, wenn der Quellcomputer die IP- und MAC-Adressen des Zielcomputers erhält. Bei der Kommunikation im IPv6-Netzwerk wird ARP wegen möglicher Sicherheitslücken jedoch nicht verwendet. Stattdessen verwenden die IPv6-Knoten die Nachbarschaftserkennung (Neighbor Discovery).

Dennoch ist ARP ein unverzichtbares Protokoll, das Netzwerkadministratoren bei der Fehlersuche im Netzwerk helfen kann und ihnen ein besseres Verständnis der Geräteidentitäten ermöglicht.

Erfahren Sie mehr über Netzwerksoftware