ARP-Grundlagen und Spoofing

ARP-Tuning über die Windows Registry

Praktisch alle modernen Microsoft-Betriebssysteme versenden beim Systemstart einen so genannten Gratuitous ARP-Request mit ihrer eigenen IP-Adresse. Bekommt das System einen ARP-Reply, der das Vorhandensein der eigenen IP-Adresse im Netz anzeigt, verweigert Windows mit der Fehlermeldung "Microsoft Windows konnte sich nicht an das Netzwerk anmelden, da die IP-Adresse bereits vergeben ist" die Anmeldung im Netzwerk.

Dies funktioniert jedoch nur im homogenen Windows-Netzwerk, da diese Funktion beispielsweise in Linux-Maschinen nicht implementiert ist. Entsprechend überprüft Linux weder beim Systemstart das Vorhandensein anderer Rechner mit derselben IP-Adresse, noch reagiert es auf Anfragen anderer Rechner diesbezüglich.

Die genauen Spezifikationen von Mobile IP, das auch Gratuitous ARP beschreibt, können Sie im RFC 3344 nachlesen.

Schwerwiegende Funktions- oder Performance-Einbußen sind bei der Vergabe von identischen IP-Adressen im gleichen Netzwerksegment vorprogrammiert. Unter bestimmten Umständen ist es jedoch hilfreich, diesen initialen Broadcast zu unterdrücken. Windows ab Version NT 4 sieht dafür einen Registry-Schlüssel vor, der diesen Rundruf beim Systemstart deaktiviert.

1. Öffnen Sie mit dem Registry-Editor das Register.

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ Tcpip\\Parameters.

2. Setzen Sie den Wert des Eintrags ArpRetryCount auf "0".

Sollte dieser Eintrag (wie etwa bei Windows XP) noch nicht vorhanden sein, erstellen Sie diesen als DWORD-Wert und verfahren Sie wie oben.

Ebenfalls über die Registry lässt sich die Zeitspanne beeinflussen, in der ARP-Einträge im Cache gehalten werden. Im Normalfall sind dies beim Erstkontakt zwei Minuten; folgt ein weiterer Datenaustausch, wird die Zeit auf zehn Minuten hochgesetzt. Um das Netz vor überflüssigen ARP-Requests zu entlasten und den Verbindungsaufbau zu beschleunigen, ist dieser Wert auf eine vom Anwender festgelegte Zeit korrigierbar.

1. Öffnen Sie mit dem Registry-Editor das Register

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\ Tcpip\\Parameters

2. Erstellen Sie als REG-DWORD den Eintrag ArpCacheLife und geben Sie im Anschluss die Zeit in Sekunden an, die zukünftig Einträge im Cache gehalten werden sollen.