Häufigkeit von ARP Requests
Hallo,
Ich habe eine Frage bezüglich ARP Requests. Mein Router sendet etwa alle 60 Sekunden einen ARP Request für meinen Client. Ich finde, dass ist recht viel, wenn man noch die Leasetime von 24 Stunden bedenkt. Der Router müsste doch davon ausgehen, dass die IP-Adresse für 24 Stunden gültig ist und sollte erst nach 24 Stunden wieder einen ARP-Request machen?
Sowohl mit fester IP, als auch mit DHCP IP tritt das "Phänomen" auf.
Bei dem Netzwerk handelt es sich übrigens um ein kleines Heimnetzwerk. Die Rechner verbinden sich per WLAN.
Gruß Thomas
Ich habe eine Frage bezüglich ARP Requests. Mein Router sendet etwa alle 60 Sekunden einen ARP Request für meinen Client. Ich finde, dass ist recht viel, wenn man noch die Leasetime von 24 Stunden bedenkt. Der Router müsste doch davon ausgehen, dass die IP-Adresse für 24 Stunden gültig ist und sollte erst nach 24 Stunden wieder einen ARP-Request machen?
Sowohl mit fester IP, als auch mit DHCP IP tritt das "Phänomen" auf.
Bei dem Netzwerk handelt es sich übrigens um ein kleines Heimnetzwerk. Die Rechner verbinden sich per WLAN.
Gruß Thomas
6 Antworten
- LÖSUNG 2hard4you schreibt am 18.10.2011 um 00:45:15 Uhr
- LÖSUNG Robobob schreibt am 18.10.2011 um 07:53:30 Uhr
- LÖSUNG Thomas2 schreibt am 18.10.2011 um 20:37:47 Uhr
- LÖSUNG Thomas2 schreibt am 19.10.2011 um 23:17:13 Uhr
- LÖSUNG chriz239 schreibt am 26.03.2012 um 17:20:36 Uhr
- LÖSUNG 51227 schreibt am 28.05.2012 um 09:45:36 Uhr
- LÖSUNG chriz239 schreibt am 26.03.2012 um 17:20:36 Uhr
- LÖSUNG Thomas2 schreibt am 19.10.2011 um 23:17:13 Uhr
- LÖSUNG Thomas2 schreibt am 18.10.2011 um 20:37:47 Uhr
- LÖSUNG Robobob schreibt am 18.10.2011 um 07:53:30 Uhr
LÖSUNG 18.10.2011 um 00:45 Uhr
LÖSUNG 18.10.2011 um 07:53 Uhr
Hallo,
ich glaub ein ungefährer Standartwert wären ca. 20min.
Und je nach Bedarf wird der Cache erneuert.
Aber ich weiß es sollte nicht alle 60sek. auftreten.
Liegt hier doch die Vermutung eines ARP-Spoofings nahe?
Möglicherweise hat sich jemand unberechtigten Zugang über dein WLAN verschafft.
wie der Kollege vor mir schon sagte, need more Informations ;)
gruß
ich glaub ein ungefährer Standartwert wären ca. 20min.
Und je nach Bedarf wird der Cache erneuert.
Aber ich weiß es sollte nicht alle 60sek. auftreten.
Liegt hier doch die Vermutung eines ARP-Spoofings nahe?
Möglicherweise hat sich jemand unberechtigten Zugang über dein WLAN verschafft.
wie der Kollege vor mir schon sagte, need more Informations ;)
gruß
LÖSUNG 18.10.2011 um 20:37 Uhr
Nabend,
Ich habe das Verhalten bei einem Linksys Router untersucht und festgestellt, dass dieser (in einem völlig anderem Netzwerk) 10 Minuten bis zum nächsten ARP-Request wartet (kein WLAN). Dies scheint mir ein vernünftiger Wert zu sein.
Testweise habe ich meine Internetverbindung gekappt und kurzfristig eine "Besserung" gehabt. Der nächste ARP hat 5 Minuten auf sich warten lassen. Danach ging es wieder im 60 Sekunden Takt weiter (ohne Internetverbindung).
Als Clients kommen Windows XP und Windows 7 zum Einsatz. Welchen Zweck hat diese Information? Das ARP des Routers ist unabhängig vom Client, oder irre ich mich? Wir wohnen in einer ruhigen Nachbarschaft. Ich schließe einen Angriff gegen das WLAN aus. Es ist WPA / WPA2 verschlüsselt mit einem über 20 Zeichen langen Schlüssel.
Als Router kommt ein DIR-600 der Marke D-Link zum Einsatz. Firmware ist auf dem Stand 2.05 und laut Router die aktuellste Version.
Gruß Thomas
Ich habe das Verhalten bei einem Linksys Router untersucht und festgestellt, dass dieser (in einem völlig anderem Netzwerk) 10 Minuten bis zum nächsten ARP-Request wartet (kein WLAN). Dies scheint mir ein vernünftiger Wert zu sein.
Testweise habe ich meine Internetverbindung gekappt und kurzfristig eine "Besserung" gehabt. Der nächste ARP hat 5 Minuten auf sich warten lassen. Danach ging es wieder im 60 Sekunden Takt weiter (ohne Internetverbindung).
Als Clients kommen Windows XP und Windows 7 zum Einsatz. Welchen Zweck hat diese Information? Das ARP des Routers ist unabhängig vom Client, oder irre ich mich? Wir wohnen in einer ruhigen Nachbarschaft. Ich schließe einen Angriff gegen das WLAN aus. Es ist WPA / WPA2 verschlüsselt mit einem über 20 Zeichen langen Schlüssel.
Als Router kommt ein DIR-600 der Marke D-Link zum Einsatz. Firmware ist auf dem Stand 2.05 und laut Router die aktuellste Version.
Gruß Thomas
LÖSUNG 19.10.2011 um 23:17 Uhr
Hallo,
Ich habe mir die ARPs nochmal genauer angesehen und festgestellt, dass die meisten ARPs vom Router direkt an den Empfänger adressiert sind. Er sendet sie also nicht an die MAC ff:ff:ff:ff:ff:ff, sondern an die MAC des Clients.
Wie lässt sich das erklären? Dies macht er sowohl bei aktivierter als auch deaktivierter MAC-Filterung.
Gruß Thomas
Ich habe mir die ARPs nochmal genauer angesehen und festgestellt, dass die meisten ARPs vom Router direkt an den Empfänger adressiert sind. Er sendet sie also nicht an die MAC ff:ff:ff:ff:ff:ff, sondern an die MAC des Clients.
Wie lässt sich das erklären? Dies macht er sowohl bei aktivierter als auch deaktivierter MAC-Filterung.
Gruß Thomas
LÖSUNG 26.03.2012 um 17:20 Uhr
Hi,
(ist ein bischen her, dass hier einer Aktiv war, aber ich antworte mal.)
zunächsteinmal haben ARP und DHCP rein GARNICHTS miteinander zu tun!
Siehe OSI-Referenzmodel:
ARP --> Layer 3
DHCP --> Layer 7
(Im Notfall: Wiki hilft
Um es für einen Leihen zu erklären:
In einem LAN-Netzwerk, wird zur Komunikation nicht nur die IP-Adresse benötigt, sondern auch die MAC-Adresse! ARP (Address Resolution Protocol) ist dafür zuständig IP-Adressen in MAC-Adressen aufzulösen (/umzuwandeln). Das geschiet indem z.B. dein Router alle Rechner (MAC-Broadcast) fragt: Wer hat denn die IP 192.168.1.20? Der der diese IP hat, meldet sich mit seiner MAC-Adresse bei deinem Router. Ab dann können Paekete versand werden. Damit der Router aber nicht für jedes einzelne Paket fragen muss wie die MAC-Adresse des Zielrechners ist, merkt er sie sich für 60 Sekunden und fragt dann erst erneut. Warum das eine so kurze Dauer ist weiß ich nicht könnte aber im entsprechenden RFC nachzulesen sein.
Gruß Chris
(ist ein bischen her, dass hier einer Aktiv war, aber ich antworte mal.)
zunächsteinmal haben ARP und DHCP rein GARNICHTS miteinander zu tun!
Siehe OSI-Referenzmodel:
ARP --> Layer 3
DHCP --> Layer 7
(Im Notfall: Wiki hilft
Um es für einen Leihen zu erklären:
In einem LAN-Netzwerk, wird zur Komunikation nicht nur die IP-Adresse benötigt, sondern auch die MAC-Adresse! ARP (Address Resolution Protocol) ist dafür zuständig IP-Adressen in MAC-Adressen aufzulösen (/umzuwandeln). Das geschiet indem z.B. dein Router alle Rechner (MAC-Broadcast) fragt: Wer hat denn die IP 192.168.1.20? Der der diese IP hat, meldet sich mit seiner MAC-Adresse bei deinem Router. Ab dann können Paekete versand werden. Damit der Router aber nicht für jedes einzelne Paket fragen muss wie die MAC-Adresse des Zielrechners ist, merkt er sie sich für 60 Sekunden und fragt dann erst erneut. Warum das eine so kurze Dauer ist weiß ich nicht könnte aber im entsprechenden RFC nachzulesen sein.
Gruß Chris
LÖSUNG 28.05.2012 um 09:45 Uhr