Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Address Resolution Protocol: Funktion, Typen & Sicherheit
Cybersecurity 101/Cybersecurity/Address Resolution Protocol

Address Resolution Protocol: Funktion, Typen & Sicherheit

Address Resolution Protocol übersetzt IP- in MAC-Adressen ohne Authentifizierung und ermöglicht so Spoofing-Angriffe. Erfahren Sie, wie SentinelOne ARP-basierte laterale Bewegungen erkennt und stoppt.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist das Address Resolution Protocol (ARP)?
Wie das Address Resolution Protocol mit Cybersecurity zusammenhängt
Kernkomponenten des Address Resolution Protocol
Wie das Address Resolution Protocol funktioniert
Zentrale Vorteile des Address Resolution Protocol
Herausforderungen und Einschränkungen des Address Resolution Protocol
Keine Authentifizierung
Persistente Schwachstellen in modernen Architekturen
Risiken durch Broadcast-Stürme
Begrenzter Schutzumfang
Angriffsfläche Cache Poisoning
Häufige Fehler beim Address Resolution Protocol
Fehlende DHCP-Snooping-Grundlage
Falsche Konfiguration der Vertrauensgrenzen
Statische IP-Geräte ohne Bindings
Ignorieren der Log-Analyse
Best Practices für das Address Resolution Protocol
Dynamic ARP Inspection korrekt implementieren
Erforderliche Konfigurationsreihenfolge einhalten
Statische IP-Binding-Tabellen pflegen
Rate Limiting konfigurieren
Netzwerkarchitektur segmentieren
Integration mit SIEM zur Überwachung
Komplementäre Layer-2-Sicherheit einsetzen
ARP-Angriffe mit SentinelOne stoppen
Wichtige Erkenntnisse

Verwandte Artikel

  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
  • Was ist Remote Monitoring and Management (RMM) Security?
  • HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche
  • Cybersecurity für die Fertigungsindustrie: Risiken, Best Practices & Frameworks
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: February 11, 2026

Was ist das Address Resolution Protocol (ARP)?

Das Address Resolution Protocol (ARP) übersetzt IP-Adressen in MAC-Adressen in lokalen Netzwerken ohne jeglichen Authentifizierungsmechanismus. Um Datenverkehr an eine IP-Adresse im selben Netzwerksegment zu senden, benötigt ein System die entsprechende Hardware-MAC-Adresse, um das Paket auf Layer 2 zuzustellen. ARP sendet eine Broadcast-Anfrage mit der Frage „Wer hat IP-Adresse X.X.X.X?“ Systeme akzeptieren Antworten von jedem Gerät ohne Überprüfung, sodass Angreifer jede IP-Adresse beanspruchen und den Datenverkehr umleiten können.

Dieser Prozess erfolgt automatisch, wenn ein System mit einem anderen Gerät im lokalen Netzwerk kommunizieren muss, beispielsweise beim Zugriff auf interne Dateiserver oder beim Routing des Datenverkehrs über das Standard-Gateway, sofern die benötigte MAC-Adresse nicht bereits aus einer vorherigen ARP-Auflösung im Cache gespeichert ist. RFC 826, die Protokollspezifikation von 1982, definiert, wie ARP das grundlegende Adressierungsproblem zwischen Layer 3 (Netzwerkschicht) und Layer 2 (Sicherungsschicht) löst.

Address Resolution Protocol - Featured Image | SentinelOne

Wie das Address Resolution Protocol mit Cybersecurity zusammenhängt

ARP bietet keine Authentifizierungs-, Verschlüsselungs- oder Verifizierungsmechanismen. Dieses vertrauenslose Design ermöglicht es Angreifern, ARP-Caches zu manipulieren, ohne eine Protokollvalidierung auszulösen.

NIST CVE-1999-0667 beschreibt die grundlegende Schwachstelle: „Das ARP-Protokoll erlaubt es jedem Host, ARP-Antworten zu fälschen und den ARP-Cache zu manipulieren, um IP-Spoofing oder einen Denial-of-Service durchzuführen.“ Dies ist kein Implementierungsfehler, den man patchen kann; das Protokolldesign erfordert kompensierende Kontrollen.

MITRE ATT&CK Technique T1557 dokumentiert, dass Angreifer mit Netzwerkzugang den Datenverkehr in Echtzeit manipulieren, indem sie Adversary-in-the-Middle-Angriffe durch ARP-Spoofing ermöglichen. Angreifer, die einen ARP-Cache manipulieren, um sich zwischen Systeme zu positionieren, umgehen Sicherheitskontrollen auf Layer 3 vollständig. Layer-2-Kontrollen wie Dynamic ARP Inspection validieren Pakete an der Quelle, während Verhaltensanalysen und Überwachung auf Layer 3 und höher den Diebstahl von Zugangsdaten und laterale Bewegungen erkennen können, die nach erfolgreichem ARP-Spoofing auftreten. SentinelOne's Singularity-Plattform bietet diese Verhaltenskorrelation, indem sie Anomalien auf Netzwerkebene mit Endpunktaktivitätsmustern verbindet. ARP-Spoofing, das laterale Bewegungen ermöglicht, löst Purple AI aus, um verdächtige Authentifizierungs- und Prozessausführungssequenzen zu identifizieren, die auf eine aktive Kompromittierung hinweisen.

CISA dokumentiert ARP-Schwachstellen in kritischer Infrastruktur und industriellen Steuerungssystemen und hebt Risiken außerhalb von IT-Netzwerken hervor. Die Allgegenwärtigkeit des Protokolls bedeutet, dass Ausnutzungsmöglichkeiten überall dort bestehen, wo Angreifer lokalen Netzwerkzugang erhalten, und Layer-3-Sicherheitskontrollen Layer-2-Angriffe innerhalb derselben Broadcast-Domäne nicht verhindern können.

Angriffe aus der Praxis zeigen diese Protokoll-Schwachstellen. Beim Target-Breach 2013 nutzten Angreifer ARP-Spoofing, um das interne Netzwerk zu kartieren und nach dem ersten Zugriff über HVAC-Dienstleister-Zugangsdaten laterale Bewegungen zu ermöglichen. Die Aufklärung und Netzwerkpositionierung trugen zum Diebstahl von 40 Millionen Kreditkartendaten und 70 Millionen Kundendatensätzen bei, was zu Gesamtkosten von 202 Millionen US-Dollar führte. Beim Angriff auf das ukrainische Stromnetz 2015 nutzten APT-Akteure Spear-Phishing und Netzwerkaufklärung, bevor sie BlackEnergy-Malware einsetzten. Der mehrstufige Angriff betraf 225.000 Kunden in drei Energieversorgungsunternehmen, wie in ICS-CERT-Berichten dokumentiert.

Das Verständnis dieser Protokoll-Schwachstellen erfordert die Betrachtung der technischen Komponenten, die die automatische Adressauflösung von ARP ermöglichen.

Kernkomponenten des Address Resolution Protocol

Vier Komponenten übernehmen die ARP-Auflösung, und jede stellt eine potenzielle Angriffsfläche dar. Angreifer mit lokalem Netzwerkzugang können jede davon manipulieren, um den Datenverkehr umzuleiten:

  • ARP-Cache-Tabellen: Die meisten IPv4-fähigen Geräte führen einen ARP-Cache, der aktuelle IP-zu-MAC-Adresszuordnungen speichert, mit dynamischen Einträgen aus ARP-Antworten und auf manchen Geräten statischen Einträgen, die manuell konfiguriert werden können.
  • ARP-Request-Pakete: Ein System, das eine MAC-Adresse für eine IP im lokalen Subnetz benötigt, sendet eine ARP-Anfrage als Broadcast mit Quell-IP und MAC-Adresse sowie der gesuchten Ziel-IP-Adresse.
  • ARP-Reply-Pakete: Das Gerät mit der angeforderten IP-Adresse sendet eine unicast ARP-Antwort direkt an die MAC-Adresse des Anfragenden mit der MAC-Adresse des Ziels, sodass das anfragende System seinen ARP-Cache aktualisieren kann.
  • Broadcast-Domänen: Die VLAN-Architektur definiert Layer-2-Broadcast-Domänen, in denen ARP arbeitet; Anfragen überschreiten keine Router oder Layer-3-Grenzen.

Das Verständnis dieser Komponenten hilft zu erkennen, an welchen Stellen ARP-Spoofing-Angriffe in den Auflösungsprozess eingreifen.

Wie das Address Resolution Protocol funktioniert

Der Auflösungsprozess folgt einer vorhersehbaren Abfolge, die in Paketmitschnitten sichtbar ist.

  1. Adressauflösungsbedarf und Broadcast-Anfrage: Eine Anwendung muss mit 10.1.1.50 im lokalen Subnetz kommunizieren. Das System prüft zuerst den ARP-Cache. Existiert kein gültiger Eintrag, sendet es eine ARP-Anfrage als Broadcast an die MAC-Adresse FF:FF:FF:FF:FF:FF mit der Frage „Wer hat 10.1.1.50? Antwort an 10.1.1.25“ (die anfragende IP-Adresse).
  2. Zielgerichtete Antwort und Cache-Befüllung: Das Gerät mit der IP 10.1.1.50 erkennt seine Adresse und sendet eine unicast ARP-Antwort mit „10.1.1.50 ist unter MAC-Adresse 00:0c:29:3f:47:8a.“ Das anfragende System aktualisiert seinen ARP-Cache mit der neuen IP-zu-MAC-Zuordnung und setzt die ursprüngliche Kommunikation fort.
  3. Gratuitous ARP: Systeme senden auch unbeabsichtigte ARP-Ankündigungen, wenn Schnittstellen initialisiert oder IP-Adressen geändert werden. Angreifer nutzen dieses Verhalten aus, indem sie bösartige gratuitous ARP-Nachrichten senden, um Caches zu manipulieren, ohne auf legitime Anfragen zu warten.

Die automatische Auflösung bietet betriebliche Vorteile, aber das Fehlen von Authentifizierung schafft Sicherheitskompromisse, die Ihr Team verwalten muss.

Zentrale Vorteile des Address Resolution Protocol

ARP übernimmt die Adressübersetzung, die IPv4-Netzwerke benötigen, um Pakete zwischen logischen IP-Adressen und physischer Hardware zu routen:

  • Automatische Adressauflösung: Administratoren müssen IP-Adressen nie manuell für Tausende von Geräten MAC-Adressen zuordnen. ARP übernimmt diese Übersetzung transparent.
  • Dynamische Netzwerkanpassung: Hardwareänderungen und IP-Adress-Neuzuweisungen führen dazu, dass ARP Bindungen im gesamten Netzwerk automatisch aktualisiert.
  • Routing-Funktionalität: Geräte nutzen ARP, um die MAC-Adresse des Standard-Gateways für allen abgehenden Datenverkehr außerhalb des Subnetzes zu ermitteln.
  • Netzwerkleistung: ARP-Caching verhindert ständige Broadcasts für jedes Paket und reduziert so die Netzwerklast.

Die gleichen Eigenschaften, die ARP automatisch machen, machen es auch ausnutzbar.

Herausforderungen und Einschränkungen des Address Resolution Protocol

Das Protokolldesign schafft Sicherheits- und Betriebsherausforderungen, die Aufmerksamkeit erfordern. Jede Schwachstelle resultiert aus dem grundlegenden Fehlen von Authentifizierung bei ARP.

Keine Authentifizierung

RFC 826 legt fest, dass Geräte ARP-Informationen von jeder Quelle ohne Validierung akzeptieren. Dieses vertrauenslose Design stammt aus einer Zeit vor modernen Bedrohungsmodellen mit Insider-Bedrohungen und lateralen Bewegungen. Jedes Gerät im lokalen Netzwerk kann jede IP-Adresse beanspruchen, und das Protokoll bietet keinen Mechanismus zur Überprüfung dieser Behauptung.

Persistente Schwachstellen in modernen Architekturen

IEEE-Forschung zu softwaredefinierten Netzwerken bestätigt, dass ARP-Schwachstellen auch in modernen SDN-Architekturen bestehen bleiben. Das grundlegende Protokoll hat sich trotz jahrzehntelanger Sicherheitsentwicklung nicht verändert. Virtualisierte Umgebungen, Cloud-nahe Netzwerke und softwaredefinierte Infrastrukturen übernehmen diese Layer-2-Schwächen gleichermaßen.

Risiken durch Broadcast-Stürme

NIST CVE-2022-27640 dokumentiert reale Ausnutzung, bei der betroffene Geräte übermäßige ARP-Broadcast-Anfragen nicht korrekt verarbeiten. Angreifer nutzen dieses Verhalten, um durch ARP-Floods Denial-of-Service-Bedingungen zu erzeugen. Die Netzwerkverfügbarkeit verschlechtert sich, da Switches mit der Flut zu kämpfen haben, was möglicherweise andere bösartige Aktivitäten verschleiert.

Begrenzter Schutzumfang

Firewalls, Intrusion-Prevention-Systeme und Netzwerkzugangskontrollen arbeiten auf Layer 3 und höher. ARP funktioniert auf Layer 2, sodass diese Kontrollen ARP-Spoofing innerhalb derselben Broadcast-Domäne nicht verhindern können. Angreifer, die Zugriff auf ein einzelnes Netzwerksegment erhalten, können ARP-Spoofing durchführen, ohne Perimeter-Schutzmechanismen auszulösen.

Angriffsfläche Cache Poisoning

Peer-Review-Forschung zu Man-in-the-Middle-Angriffen zeigt, dass MitM-ARP-Spoofing-Angriffe meist auf Online-Banking-Dienste oder andere persönliche Online-Dienste abzielen. Cache Poisoning, das trotz präventiver Kontrollen gelingt, löst SIEM-Plattformen und Verhaltensanalyse-Tools aus, um anschließenden Diebstahl von Zugangsdaten und laterale Bewegungen durch die Analyse kompromittierender Muster zu erkennen. 

Plattformen wie SentinelOne erkennen diese Post-Compromise-Muster durch Verhaltens-KI, die anomale Authentifizierung, Prozessausführung und Dateizugriffe nach erfolgreichen ARP-Angriffen erkennt und eine autonome Reaktion ermöglicht, bevor Angreifer ihre Ziele erreichen. Selbst mit diesen Erkennungsfähigkeiten lassen häufige Implementierungsfehler Netzwerke verwundbar zurück.

Häufige Fehler beim Address Resolution Protocol

Sicherheitsteams machen regelmäßig Implementierungsfehler, die Schutzmaßnahmen unwirksam machen. Das Verständnis dieser Fallstricke hilft, sie bei der Bereitstellung zu vermeiden.

Fehlende DHCP-Snooping-Grundlage

Sie aktivieren Dynamic ARP Inspection (DAI), vergessen aber die Voraussetzung. Die Konfigurationsanleitungen von Enterprise-Switch-Herstellern geben an, dass DAI voraussetzt, dass DHCP-Snooping global aktiviert ist. Ohne die DHCP-Snooping-Binding-Datenbank kann DAI ARP-Pakete nicht validieren.

Falsche Konfiguration der Vertrauensgrenzen

Fehlkonfigurierte Vertrauensgrenzen markieren DHCP-Server-Verbindungen oder Uplink-Ports nicht als vertrauenswürdig. Legitimer DHCP-Verkehr wird blockiert, was zu Netzwerkstörungen und Fehlalarmen führt.

Statische IP-Geräte ohne Bindings

DAI wird für DHCP-zugewiesene Adressen aktiviert, während Server, Drucker und Infrastrukturgeräte mit statischen IPs vernachlässigt werden. Die Dokumentation von Enterprise-Netzwerk-Switches gibt an, dass DAI statische IP-Binding-Einträge für Nicht-DHCP-Geräte erfordert. Wird dieser Schritt übersprungen, können legitime statische IP-Geräte die DAI-Validierung nicht bestehen und verlieren die Netzwerkverbindung.

Ignorieren der Log-Analyse

DAI läuft, ohne dass jemand die Sicherheitsereignisprotokolle überwacht. Angriffe bleiben unbemerkt, weil niemand die DAI-Validierungsfehler und ARP-Paketverluste prüft, die auf aktive ARP-Spoofing-Versuche hinweisen.

Sicherheitsteams, die DAI-Protokolle in ihre SIEM-Plattformen einspeisen und sie mit Endpunkt-Telemetrie aus Lösungen wie SentinelOne Singularity korrelieren, erhalten Kontext, der Layer-2-Angriffe mit Missbrauch von Zugangsdaten und lateralen Bewegungen verbindet. Rohe ARP-Validierungsfehler werden so zu verwertbarer Bedrohungsintelligenz mit autonomen Reaktionsmöglichkeiten.

Diese Fehler zu vermeiden, erfordert die Einhaltung standardbasierter Bereitstellungspraktiken in der richtigen Reihenfolge.

Best Practices für das Address Resolution Protocol

Standardbasierter Schutz erfordert gestaffelte Sicherheitskontrollen, die in der richtigen Reihenfolge implementiert werden. Die folgenden Maßnahmen adressieren ARP-Schwachstellen auf Switch-Ebene und erhalten gleichzeitig die Netzwerkfunktionalität.

Dynamic ARP Inspection korrekt implementieren

Die Dokumentation von Enterprise-Netzwerk-Switch-Herstellern bestätigt, dass DAI Switches vor ARP-Spoofing- und Poisoning-Angriffen schützt, indem ARP-Pakete im LAN inspiziert und mit DHCP-Snooping-Datenbankeinträgen abgeglichen werden. Das System validiert ARP-Pakete anhand von MAC-IP-Bindings und verwirft ungültige Pakete, die an nicht vertrauenswürdigen Ports ankommen.

Erforderliche Konfigurationsreihenfolge einhalten

NIST Special Publication 800-215 konzentriert sich auf sicheren Fernzugriff und SASE-Frameworks. Offizielle technische Dokumentationen von Enterprise-Switch-Herstellern empfehlen, zuerst DHCP-Snooping zu konfigurieren, einschließlich der Markierung von serverseitigen und Uplink-Ports als DHCP-vertrauenswürdig. Anschließend DHCP-Prüfung pro VLAN aktivieren, statische IP-Bindings für Nicht-DHCP-Geräte erstellen und Dynamic ARP Inspection pro VLAN aktivieren, beginnend mit Testsegmenten.

Statische IP-Binding-Tabellen pflegen

Jeder Server, jedes Netzwerkgerät, jeder Drucker und jedes IoT-Gerät mit statischer IP-Adressierung benötigt einen manuellen Binding-Eintrag in der DAI-Konfiguration. Dokumentieren Sie diese Geräte während der Implementierung und aktualisieren Sie die Bindings bei Infrastrukturänderungen.

Rate Limiting konfigurieren

Setzen Sie angemessene ARP-Paket-Rate-Limits pro Schnittstelle, um Denial-of-Service-Angriffe auf den Prüfprozess zu verhindern. Konfigurieren Sie Schwellenwerte basierend auf den ARP-Verkehrsmustern Ihrer Umgebung, unter Berücksichtigung von Herstellerempfehlungen, die beispielsweise 15 Pakete pro Sekunde und Schnittstelle als Ausgangspunkt vorschlagen, aber letztlich an Ihr Netzwerk angepasst werden sollten.

Netzwerkarchitektur segmentieren

Eine angemessene Netzwerksegmentierung stellt sicher, dass Angriffe in einem Subnetz keine Auswirkungen auf Geräte in anderen Segmenten haben. ARP arbeitet innerhalb von Broadcast-Domänen, daher begrenzt die Segmentierung die Ausbreitung von Angriffen und reduziert die Angriffsfläche pro Netzwerksegment.

Integration mit SIEM zur Überwachung

Die Dokumentation von Enterprise-Switch-Herstellern gibt an, dass DAI-Protokolle Quell-MAC-Adresse, VLAN, IP-Adresse und Zeitstempel enthalten. Leiten Sie diese Protokolle an Ihr Security Information and Event Management-System weiter, um sie mit anderen Sicherheitsereignissen zu korrelieren und Muster zu analysieren, die auf koordinierte Angriffskampagnen hinweisen. Sicherheitsplattformen wie SentinelOne Singularity korrelieren ARP-bezogene Sicherheitsereignisse mit Authentifizierungsfehlern und Indikatoren für laterale Bewegungen und verbinden Layer-2-Angriffe mit geschäftlichen Auswirkungen.

Komplementäre Layer-2-Sicherheit einsetzen

Implementieren Sie Port-Security, um MAC-Adressen pro physischem Port zu beschränken, konfigurieren Sie BPDU Guard zur Verhinderung von Spanning-Tree-Angriffen und aktivieren Sie DHCP-Snooping-Rate-Limiting. Diese Kontrollen arbeiten zusammen mit DAI, um eine Defense-in-Depth auf der Sicherungsschicht zu schaffen.

Präventive Kontrollen bilden die Grundlage. Angriffe zu erkennen, wenn Prävention fehlschlägt, vervollständigt die Sicherheitsarchitektur.

ARP-Angriffe mit SentinelOne stoppen

Angreifer, die Dynamic ARP Inspection umgehen oder auf Netzwerksegmenten ohne Layer-2-Schutz agieren, schaffen eine Sichtbarkeitslücke. Ihre Sicherheitsarchitektur erfordert die Korrelation zwischen ARP-bezogenen Anomalien und Endpunktverhalten. SentinelOne Singularity bietet diese bereichsübergreifende Korrelation, indem Netzwerkereignisse zusammen mit Endpunkt-Telemetrie analysiert werden, um den Diebstahl von Zugangsdaten, Privilegieneskalation und laterale Bewegungen zu identifizieren, die auf erfolgreiche ARP-Spoofing-Angriffe folgen.

Die Singularity-Plattform schließt die grundlegende Lücke zwischen Layer-2-Netzwerkkontrollen und Layer-3+-Sicherheitswerkzeugen. DAI arbeitet auf Switch-Ebene, um gefälschte ARP-Pakete zu blockieren, aber Angreifer, die es schaffen, Caches auf ungeschützten Segmenten oder während des Zeitfensters vor der Bereitstellung von Kontrollen zu manipulieren, erfordern Verhaltensanalysen. Purple AI korreliert ungewöhnliche Authentifizierungsmuster, verdächtige Prozessausführungen und anomale Dateizugriffe mit Ereignissen auf Netzwerkebene. Eine ARP-Anomalie, die von Ihren Switches protokolliert wird, wird mit tatsächlichem Missbrauch von Zugangsdaten auf Ihren Endpunkten verknüpft.

Purple AI verkürzt die Untersuchungszeit bei ARP-bezogenen Vorfällen, indem die Korrelation von Netzwerk-Anomalien mit Authentifizierungsmustern auf Endpunkten automatisiert wird. Anstatt Tausende von DAI-Protokolleinträgen manuell zu untersuchen, identifiziert Purple AI, welche ARP-bezogenen Ereignisse tatsächlichen Kompromittierungsverhalten vorausgingen: Windows-Authentifizierung mit gestohlenen NTLM-Hashes, PowerShell-Aufklärungskommandos oder unbefugter Zugriff auf Dateifreigaben.

Die autonomen Reaktionsfunktionen der Plattform stoppen laterale Bewegungen unabhängig vom ursprünglichen Angriffsvektor, indem kompromittierte Endpunkte isoliert, verdächtige Prozesse blockiert und Datenexfiltration verhindert werden, bevor Angreifer ihre Ziele erreichen. Für Sicherheitsteams, die hybride Umgebungen mit inkonsistenter Layer-2-Kontrollbereitstellung verwalten, identifiziert Singularity die relevanten Post-Compromise-Verhaltensweisen unabhängig vom Ursprung. Die Alarmmüdigkeit sinkt, da die Plattform Ereignisse mit tatsächlicher geschäftlicher Auswirkung priorisiert.

Fordern Sie eine SentinelOne-Demo an, um zu sehen, wie Singularity ARP-basierte laterale Bewegungen erkennt und den Diebstahl von Zugangsdaten mit autonomer Reaktion stoppt.

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Das nicht authentifizierte Design von ARP wird sich nicht ändern. Ihre Verteidigung erfordert gestaffelte Kontrollen: DHCP-Snooping und Dynamic ARP Inspection auf Switch-Ebene, Netzwerksegmentierung zur Eindämmung von Angriffen und Verhaltensanalysen, um das zu erkennen, was Prävention übersieht.

Implementieren Sie Kontrollen in der richtigen Reihenfolge, beginnend mit DHCP-Snooping vor der Aktivierung von DAI. Leiten Sie DAI-Protokolle an Ihr SIEM zur Korrelation mit Endpunkt-Telemetrie weiter. Akzeptieren Sie, dass einige Segmente keinen Schutz haben werden, und bauen Sie entsprechende Erkennungsfähigkeiten auf. Protokollschwachstellen erfordern architektonische Sicherheit, keine Protokollkorrekturen.

FAQs

Die Begriffe beschreiben denselben Angriff: gefälschte ARP-Nachrichten überschreiben legitime Cache-Einträge. In der Sicherheitsliteratur werden sie austauschbar verwendet. Beide nutzen das Fehlen von Authentifizierung im Protokoll aus, um den Datenverkehr umzuleiten, indem sie falsche IP-zu-MAC-Adressbindungen vortäuschen. 

Aktives Spoofing erzeugt ARP-Verkehr, den DAI abfangen kann, während die passive Beobachtung vergifteter Caches einen Vergleich der aktuellen Cache-Einträge mit bekannten, gültigen Bindungsdatenbanken erfordert.

ARP arbeitet auf Schicht 2 innerhalb lokaler Netzwerk-Broadcast-Domänen und betrifft hauptsächlich On-Premises- und Private-Cloud-Netzwerke. Öffentliche Cloud-virtuelle Netzwerke verwenden andere architektonische Isolationsmechanismen und alternative Sicherheitsansätze. 

Hybride Umgebungen, die sowohl On-Premises- als auch Public-Cloud-Architekturen umfassen, erfordern jedoch Schutzstrategien, die auf unterschiedliche Sicherheitsmodelle abgestimmt sind. Angriffe in On-Premises-Segmenten können den Zugriff auf Cloud-Ressourcen ermöglichen, wenn keine ordnungsgemäße Netzwerksegmentierung vorhanden ist.

Die Auswirkung von DAI auf die Leistung hängt von der Netzwerkarchitektur und den Verkehrsmustern ab. Moderne Managed Switches führen die Inspektion in Hardware-ASICs mit vernachlässigbarem Einfluss durch. Aktivieren Sie DAI schrittweise über VLANs hinweg, beginnend mit kritischen Segmenten, und messen Sie dabei Inspektionsraten und CPU-Metriken, um die Kapazität vor einer erweiterten Bereitstellung zu validieren. 

Überwachen Sie den Basis-ARP-Verkehr während der Spitzenzeiten, um geeignete Ratenbegrenzungen für Ihre Umgebung festzulegen.

Die Einführung von IPv6 nimmt in Unternehmensnetzwerken zu, aber die meisten Organisationen betreiben Dual-Stack-Umgebungen mit sowohl IPv4 als auch IPv6. NIST SP 800-215 empfiehlt, dass Sicherheitsarchitekturen in Unternehmen während dieser verlängerten Übergangsphase Layer-2-Sicherheitskontrollen für IPv4-Netzwerke berücksichtigen. Fortgesetzte ARP-Schutzmechanismen wie Dynamic ARP Inspection bleiben weiterhin notwendig.

Angreifer im lokalen Netzwerk können ARP-Caches mit frei verfügbaren Tools innerhalb von Sekunden nach Erlangen des Netzwerkzugriffs vergiften. RFC 826 und IEEE-Studien bestätigen, dass der Angriff keine ausgefeilte Ausnutzung erfordert, sondern lediglich die Fähigkeit, gefälschte ARP-Pakete im lokalen Broadcast-Domain zu senden. 

Die Schwachstelle im vertrauenslosen Design des Protokolls unterstreicht, warum präventive Layer-2-Kontrollen für die ARP-Sicherheit grundlegend sind.

Dynamische ARP-Einträge werden automatisch aus ARP-Antworten gelernt und verfallen nach einer Zeitüberschreitung, die je nach Betriebssystem typischerweise zwischen 2 und 20 Minuten liegt. Statische ARP-Einträge werden von Administratoren manuell konfiguriert und bleiben bestehen, bis sie explizit entfernt werden. 

Statische Einträge verhindern ARP-Cache-Poisoning bei kritischen Infrastrukturgeräten, erfordern jedoch manuelle Wartung bei Hardwareänderungen oder Neuzuweisung von IP-Adressen.

Erfahren Sie mehr über Cybersecurity

Cybersecurity im Einzelhandel: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity im Einzelhandel: Risiken, Best Practices & Frameworks

Erfahren Sie mehr über die entscheidende Rolle von Cybersecurity in der Einzelhandels- und E-Commerce-Branche. Dieser Leitfaden behandelt die wichtigsten Bedrohungen, Datenschutz-Frameworks und Best Practices, um Einzelhändler bei der Sicherung von Kundendaten, der Einhaltung von Vorschriften und dem Erhalt des Vertrauens über digitale und physische Verkaufsstellen hinweg zu unterstützen.

Mehr lesen
Cybersicherheit im Gesundheitswesen: Risiken, Best Practices & RahmenwerkeCybersecurity

Cybersicherheit im Gesundheitswesen: Risiken, Best Practices & Rahmenwerke

Erfahren Sie mehr über Cybersicherheit in der Gesundheitsbranche und wie Sie sich gegen neue Bedrohungen verteidigen können. Verstehen Sie Cyberrisiken im Gesundheitswesen, Best Practices und geeignete Rahmenwerke für maximalen Schutz.

Mehr lesen
Cybersecurity im Hochschulbereich: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity im Hochschulbereich: Risiken, Best Practices & Frameworks

Hochschulen und Universitäten sehen sich mit zunehmenden Cyberbedrohungen konfrontiert, da digitale Campusumgebungen wachsen. Dieser Leitfaden erläutert die wichtigsten Risiken, bewährte Schutzstrategien und zentrale Frameworks, die die Cybersecurity im Hochschulbereich stärken.

Mehr lesen
Was ist Typosquatting? Methoden von Domain-Angriffen & PräventionCybersecurity

Was ist Typosquatting? Methoden von Domain-Angriffen & Prävention

Typosquatting-Angriffe nutzen Tippfehler aus, um Benutzer auf gefälschte Domains umzuleiten, die Zugangsdaten stehlen. Erfahren Sie mehr über die Angriffsmethoden und Präventionsstrategien für Unternehmen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch