Ist ARP ein TCP- oder UDP-Protokoll?
Kurzantwort
Weder noch. ARP ist ein Layer-2-Protokoll (Sicherungsschicht), das direkt in einem Ethernet-Frame gekapselt wird und nicht in einem IP-Paket. Da es niemals über IP läuft, kann es weder TCP noch UDP verwenden — das sind Layer-4-Transporte, die IP darunter benötigen. Die Aufgabe von ARP besteht darin, eine bekannte IP-Adresse zur passenden MAC-Adresse im selben lokalen Netzsegment aufzulösen.
Die Falle hier ist das falsche Entweder-oder. Indem der Interviewer nur „TCP oder UDP“ anbietet, drängt er Sie dazu, eines auszuwählen — und sobald Sie das tun, haben Sie gezeigt, dass Sie nicht wissen, auf welchem Layer ARP lebt.
Warum keine der beiden Antworten korrekt ist
TCP und UDP sind Layer-4-Transportprotokolle. Beide benötigen ein IP-Paket (Layer 3), um darin zu reisen. ARP arbeitet unterhalb von alldem. Eine ARP-Nachricht wird direkt in einem Ethernet-Frame (EtherType 0x0806) auf Layer 2 gekapselt. Es ist überhaupt kein IP-Header beteiligt, also gibt es nichts, woran sich TCP oder UDP anhängen könnten. Zu fragen, ob ARP TCP oder UDP ist, ist ein Kategorienfehler.
Was ARP tatsächlich macht
ARP — das Address Resolution Protocol — beantwortet eine einzige lokale Frage: „Wer hat die IP 192.168.1.10? Nenne mir deine MAC-Adresse.“ Es sendet die Anfrage als Broadcast an das gesamte Segment; der Besitzer antwortet mit seiner MAC, damit Frames auf dem Draht adressiert werden können. Es funktioniert nur innerhalb einer einzigen Broadcast-Domäne, weshalb es nie IP-Routing benötigt.
Der Sicherheitsaspekt
ARP hat keine Authentifizierung. Jeder Host kann jede IP für sich beanspruchen, was die Grundlage für ARP-Spoofing/-Poisoning ist, das für Man-in-the-Middle-Angriffe in einem LAN genutzt wird. Ein starker Kandidat erwähnt das unaufgefordert. (In IPv6 wird diese Rolle von NDP übernommen, das dieselbe Vertrauensschwäche aufweist.)
Worauf Interviewer achten
Die Weigerung, das falsche Entweder-oder zu akzeptieren, plus die Layer-2-Erklärung. ARP-Spoofing zu nennen bringt Bonuspunkte.
Wahrscheinliche Anschlussfragen
- Auf welchem Layer arbeitet ARP und warum schließt das TCP/UDP aus?
- Wie nutzt ARP-Spoofing/-Poisoning das Fehlen von Authentifizierung aus?
- Was ist das Äquivalent zu ARP in IPv6?