thomas2
Goto Top

Häufigkeit von ARP Requests

Hallo,

Ich habe eine Frage bezüglich ARP Requests. Mein Router sendet etwa alle 60 Sekunden einen ARP Request für meinen Client. Ich finde, dass ist recht viel, wenn man noch die Leasetime von 24 Stunden bedenkt. Der Router müsste doch davon ausgehen, dass die IP-Adresse für 24 Stunden gültig ist und sollte erst nach 24 Stunden wieder einen ARP-Request machen?
Sowohl mit fester IP, als auch mit DHCP IP tritt das "Phänomen" auf.

Bei dem Netzwerk handelt es sich übrigens um ein kleines Heimnetzwerk. Die Rechner verbinden sich per WLAN.


Gruß Thomas

Content-Key: 174823

Url: https://administrator.de/contentid/174823

Printed on: June 23, 2024 at 20:06 o'clock

Member: 2hard4you
2hard4you Oct 17, 2011 at 22:45:15 (UTC)
Goto Top
Moin,

irgendwie ist *mein Router* nicht wirklich zielführend für Dein Problem

Bitte

Router, Anbieter, Client(s)

dann kann man vielleicht die Kristallkugel weglegen

Gruß

24
Member: Robobob
Robobob Oct 18, 2011 at 05:53:30 (UTC)
Goto Top
Hallo,

ich glaub ein ungefährer Standartwert wären ca. 20min.
Und je nach Bedarf wird der Cache erneuert.

Aber ich weiß es sollte nicht alle 60sek. auftreten.
Liegt hier doch die Vermutung eines ARP-Spoofings nahe?
Möglicherweise hat sich jemand unberechtigten Zugang über dein WLAN verschafft.

wie der Kollege vor mir schon sagte, need more Informations ;)

gruß
Member: Thomas2
Thomas2 Oct 18, 2011 at 18:37:47 (UTC)
Goto Top
Nabend,

Ich habe das Verhalten bei einem Linksys Router untersucht und festgestellt, dass dieser (in einem völlig anderem Netzwerk) 10 Minuten bis zum nächsten ARP-Request wartet (kein WLAN). Dies scheint mir ein vernünftiger Wert zu sein.

Testweise habe ich meine Internetverbindung gekappt und kurzfristig eine "Besserung" gehabt. Der nächste ARP hat 5 Minuten auf sich warten lassen. Danach ging es wieder im 60 Sekunden Takt weiter (ohne Internetverbindung).

Als Clients kommen Windows XP und Windows 7 zum Einsatz. Welchen Zweck hat diese Information? Das ARP des Routers ist unabhängig vom Client, oder irre ich mich? Wir wohnen in einer ruhigen Nachbarschaft. Ich schließe einen Angriff gegen das WLAN aus. Es ist WPA / WPA2 verschlüsselt mit einem über 20 Zeichen langen Schlüssel.

Als Router kommt ein DIR-600 der Marke D-Link zum Einsatz. Firmware ist auf dem Stand 2.05 und laut Router die aktuellste Version.


Gruß Thomas
Member: Thomas2
Thomas2 Oct 19, 2011 at 21:17:13 (UTC)
Goto Top
Hallo,

Ich habe mir die ARPs nochmal genauer angesehen und festgestellt, dass die meisten ARPs vom Router direkt an den Empfänger adressiert sind. Er sendet sie also nicht an die MAC ff:ff:ff:ff:ff:ff, sondern an die MAC des Clients.

Wie lässt sich das erklären? Dies macht er sowohl bei aktivierter als auch deaktivierter MAC-Filterung.


Gruß Thomas
Member: chriz239
chriz239 Mar 26, 2012 at 15:20:36 (UTC)
Goto Top
Hi,

(ist ein bischen her, dass hier einer Aktiv war, aber ich antworte mal.)

zunächsteinmal haben ARP und DHCP rein GARNICHTS miteinander zu tun!

Siehe OSI-Referenzmodel:
ARP --> Layer 3
DHCP --> Layer 7

(Im Notfall: Wiki hilft face-wink

Um es für einen Leihen zu erklären:
In einem LAN-Netzwerk, wird zur Komunikation nicht nur die IP-Adresse benötigt, sondern auch die MAC-Adresse! ARP (Address Resolution Protocol) ist dafür zuständig IP-Adressen in MAC-Adressen aufzulösen (/umzuwandeln). Das geschiet indem z.B. dein Router alle Rechner (MAC-Broadcast) fragt: Wer hat denn die IP 192.168.1.20? Der der diese IP hat, meldet sich mit seiner MAC-Adresse bei deinem Router. Ab dann können Paekete versand werden. Damit der Router aber nicht für jedes einzelne Paket fragen muss wie die MAC-Adresse des Zielrechners ist, merkt er sie sich für 60 Sekunden und fragt dann erst erneut. Warum das eine so kurze Dauer ist weiß ich nicht könnte aber im entsprechenden RFC nachzulesen sein.

Gruß Chris
Mitglied: 51227
51227 May 28, 2012 at 07:45:36 (UTC)
Goto Top
Hi,

60 Sekunden ist in meinen Augen noch nicht besonders häufig. Wir haben bei uns im Netz ein Limit von 10 Anfragen pro Sekunde, bevor wir den Port sperren. Windows 7 macht zum Teil über 50 Anfragen pro Sekunde - hängt wohl mit UPNP zusammen.

Gruß
Michael