Mit dem Scannen über das Address Resolution Protocols auf Layer-2-Ebene des Netzwerks, können Admins einen durchaus interessanten Einblick in ihr Netzwerk erhalten. Die Ergebnisse spielen auch bei Penetrationstests eine wichtige Rolle.
EtherApe zeigt den Datenverkehr im Netzwerk grafisch an.
(Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))
Das Address Resolution Protocol (ARP) ist ein Protokoll, das auf Layer-2-Ebene das Netzwerk durchsuchen kann. Dabei kommen die MAC-Adressen als physikalische Adresse der verbundenen Geräte zum Einsatz. Für die Zustellung von IP-Paketen im Netzwerk spielt die MAC-Adresse eine wichtige Rolle, da diese für die Übertragung parallel zur IP-Adresse des empfangenden Gerätes bekannt sein muss. Bei der Übertragung kommt ein Ethernet-Frame zum Einsatz, wenn die Geräte per Kabel mit dem LAN verbunden sind. Dieser Frame enthält die MAC-Adressen des Senders und des Empfängers des Paketes. Die Aktionen und Tools in diesem Beitrag haben wir auf Ubuntu gestartet.
Die ARP-Tabelle und ihre MAC-Adressen
Sendet ein Host ein Datenpaket zu einem Ziel, muss er die MAC-Adresse des Ziels kennen. Diese ist in vielen Fällen aber nicht automatisch bekannt. Hosts im Netzwerk speichern jedoch normalerweise in der lokalen ARP-Tabelle die bekannten IP-Adressen und deren zugehöriger MAC-Adresse. Hier überprüfen Netzwerkgeräte zuerst, ob zur Ziel-IP-Adresse bereits eine MAC-Adresse hinterlegt ist, die für die Datenübertragung genutzt werden kann.
Ist die MAC-Adresse eines Ziel-Hosts nicht bekannt, sendet der Quell-Host zunächst ein ARP-Request in das Netzwerk. Dies erfolgt als Broadcast, also an alle Computer und alle anderen Netzwerkgeräte, die mit dem Netzwerk verbunden sind. In dem Request sind die IP-Adresse und MAC-Adresse des Quell-Hosts zu finden sowie die Anfrage, wie die MAC-Adresse des Gerätes mit der Ziel IP-Adresse lautet. Erhält der Ziel-Host den ARP-Request, erstellt er zunächst einen Eintrag mit der IP-Adresse und der dazugehörigen MAC-Adresse des Quell-Hosts. Alle anderen Geräte verwerfen den ARP-Request, da er nicht für sie bestimmt ist.
Im Anschluss sendet der Ziel-Host einen ARP-Reply an den Quell-Host, der den ARP-Request abgeschickt hat. Der ARP-Reply enthält die IP-Adresse und die MAC-Adresse des Ziel-Hosts. Diese Daten trägt der Quell-Host in seine ARP-Tabelle ein. Im Anschluss sendet der Quell-Host den erstellten Ethernet-Frame an den Ziel-Host. Durch diese Vorgehensweise wird schnell klar, dass die ARP-Tabelle auf den verschiedenen Endgeräten zahlreiche IP-Adressen und MAC-Adressen von aktiven Clients im Netzwerk erhält und damit eine ideale Quelle für das Auslesen von Netzwerkinformationen ist.
Informationsbeschaffung im Netzwerk mit ARP und EtherApe
Hier verwenden wir EtherApe auf einem Ubuntu-Computer. Die Installation erfolgt in diesem Fall mit:
sudo apt install etherape
Das Tool muss mit Root-Rechten gestartet werden, um alle Informationen auszulesen und anzeigen zu können. Bereits kurz nach dem Start beginnt das Tool das Netzwerk nach IP-Adressen und Hosts zu scannen und diese anzuzeigen. Dabei zeigt es auch die Netzwerkprotokolle an, die aktuell im Einsatz sind und nutzt die Layer-3-Informationen um den IP-Datenverkehr zu erfassen.
Netzwerk mit EtherApe und arp-scan auf Layer-2-Ebene scannen
Um das Netzwerk auf Layer-2-Ebene zu scannen, wird in EtherApe der Scanvorgang zunächst gestoppt. Danach kann mit „Erfassung -> Modus -> Sicherungsschicht“ (auf englischen Computern Link Layer) die Scanebene auf Layer 2 gesetzt werden. Jetzt zeigt das Tool die aktiven MAC-Adressen und deren Datenverkehr im Netzwerk an.
Im Fenster sind im Anschluss alle Aktionen im Netzwerk zu sehen. Weitere Daten lassen sich im Terminal mit „arp -a“ anzeigen. Das funktioniert auch in Windows auf dem gleichen Weg. Wenn am Beispiel von Ubuntu arp noch nicht installiert ist, lässt sich das mit dem folgenden Befehl nachholen:
sudo apt install net-tools
Um die ARP-Tabelle weiter zu füllen, kann ein aktiver ARP-Scan gestartet werden, der das Subnetz nach aktiven Geräten durchsucht und die Daten in der Tabelle einträgt. Das lässt sich zum Beispiel mit folgendem Befehl abwickeln:
sudo arp-scan 10.0.0.0/16
Wenn der ARP-Scan nicht vorhanden ist, lässt sich auch dieses Tool über die Paketverwaltung installieren, und zwar mit:
sudo apt install arp-scan
ARP-Scan muss mit erhöhten Rechten gestartet werden. Im Fenster sind danach die aktiven IP-Adressen, deren MAC-Adressen und in den meisten Fällen auch die Hersteller der Netzwerkadapter zu finden. Der Datenverkehr, den ARP-Scan durchführt ist in EtherApe zu sehen; auch Tools wie WireShark zeigt den Datenverkehr an. Dabei führt das Gerät eine Verbindung zu allen erreichbaren Netzwerkgeräten durch. Dies verursacht eine Menge Datenverkehr.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
arp-fingerprint sucht noch mehr Informationen
Noch mehr Informationen lassen sich mit dem Befehl „sudo arp-fingerprint -l -v“ per ARP auslesen. Hier verschickt das Tool verschiedene Flags, um an mehr Informationen der Ziele zu gelangen. Durch diese umfangreichen ARP-Anfragen kann arp-fingerprint umfassende Informationen aufzeichnen, die Netzwerkgeräte per ARP verraten. Dazu gehören zum Beispiel auch das installierte Betriebssystem und andere Daten.
Dieser Vorgang dauert jedoch sehr viel länger und zeigt in EtherApe sowie in WireShark den massiven Datenverkehr an, den der Client auslöst. Wenn EtherApe oder WireShark solche Aktionen anzeigen, ohne dass man selbst eine solche Aktion gestartet hat, deutet das darauf hin, dass aktuell ein Angriff im Netzwerk stattfindet und ein Akteur versucht an Informationen zu gelangen. Dabei kommen weiterhin die Layer-2-Ebene und ARP zum Einsatz.
Passiver oder Aggressiver ARP-Scan mit Netdiscover
Arp-Fingerprint und ARP-Scan gehen sehr aggressiv vor, wenn es darum geht Daten anzuzeigen. Das Tool Netdiscover ist hier deutlich diskreter und lauscht im Netzwerk nach ARP-Verkehr, ohne selbst ARP-Requests zu versenden. Daher ist diese Untersuchung von Netzwerken sehr unauffällig. Der Befehl dazu lautet:
sudo netdiscover -p
Durch den Parameter „-p“ arbeitet Netdiscover passiv. Mit dem Parameter „-r“ scannt Netdiscover aber ebenfalls sehr aggressiv im Netzwerk und sammelt Informationen. Seine Daten listet Netdiscover tabellarisch auf. Hier sind dann auch die IP-Adressen der Geräte zu finden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/33/99332844f91f510eaedf1c857a567706/0128775218v2.jpeg "Bei erfolgreicher Ausnutzung der Schwachstelle EUVD-2025-205454 / CVE-2025-68668 können Cyberkriminelle aus der Sandbox von n8n-Projekten ausbrechen und Schadcode ausführen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/f8/4f/f84f6d7e58d390cfb9ccd24604f29680/0128949614v2.jpeg "Vom 3. bis 10. Februar 2026 haben Schülerinnen und Schüler die Möglichkeit, an der Hacking Challenge der TH Augsburg teilzunehmen, bei der sie eine bösartige KI aufhalten müssen, indem sie in einem Capture-the-Flag-Wettbewerb Sicherheitsprobleme lösen. (Bild: SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/62/fc6241572174058c15f52b26aa9cbffc/0128589742v1.jpeg "Betreiber kritischer Infrastrukturen melden laut Thales weniger Sicherheitsvorfälle, sehen aber wachsende Risiken durch KI-Systeme und künftige Entschlüsselungsszenarien im Post-Quanten-Kontext. (Bild: © SVasco - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/73/d87362ef0fcf479f5f38706e92fe06bb/0128612106v1.jpeg "Bei den defekten Systemdatenträgern, die bei CBL Datenrettung behandelt werden, machen SSDs inzwischen rund 70 Prozent aus. Hier muss sich das Unternehmen auf neue Controller wie die von Maxio Technology einstellen. (Bild: CBL )")
:quality(80)/p7i.vogel.de/wcms/0a/43/0a439494e291abc64fc198fcfb7d23cd/0128778210v2.jpeg "Informationen darüber, dass eine kritsche Schwachstelle in IBM API Connect aktiv ausgenutzt wird, gibt es bisher nicht. Dennoch sollten Nutzer dringend die Interim Fixes installieren, da Cyberkriminelle ansonsten ohne Anmeldung auf Systeme zugreifen können. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/c4/abc4346adf0d031c478a138dd10e3ec9/0128637719v2.jpeg "Die Schwachstelle, die HashJack ausnutzt, besteht laut Cato darin, dass KI-Browser unsichtbare URL-Fragmente lokal verarbeiten und deren versteckte Befehle ungeprüft in den Kontext des KI-Assistenten übernehmen. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ac/7d/ac7de267fffd98226a6feeee8275e6de/0128963385v2.jpeg "NIS 2 gilt! Alles, was Unternehmen dazu nun wissen müssen, gibt es im Fakten-Check mit Prof. Dennis-Kenji Kipker im Security-Insider-Podcast. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a9/68/a968fd12964ee1239ad6430ca959104a/0115220836.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk in einer Grafik an, auch MAC-Adressen und IP-Adressen.(Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/79/46/79460c0b55369c212e43643b54e5f2ed/0115220830.jpeg "Nach der Umstellung auf Layer 2 scannt EtherApe den Datenverkehr auf Basis der MAC-Adressen mit Layer 2.(Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/ca/bd/cabd2254303fe0ca596ac60d4aa696d1/0115220820.jpeg "EtherApe zeigt den aufgezeichneten Datenverkehr auch im Terminal an.(Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo) - Canonical)")
:quality(80)/p7i.vogel.de/wcms/a6/30/a6306e13dabaf41037a4af19d0e69490/0115220818.jpeg "Generell lässt sich ARP auch in Windows mit der Befehlszeile nutzen, Linux ist aber besser geeignet.(Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/a6/bb/a6bb2e9d4ee1fd213c1b36b2b559e04a/0122526988v1.jpeg "Ein DHCP-Server steht im Zentrum eines Angriffsszenarios, bedroht durch Rogue-DHCP-Server und Spoofing-Angriffe. Proaktive Schutzmaßnahmen wie DHCP-Snooping und regelmäßige Überwachung sind essenziell, um die Integrität des Netzwerks zu wahren. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/7d/ec7d81e2ef46ad23a6f65daf91d9e61f/0121772742v1.jpeg "Zur Absicherung von Netzwerken gehört auch der regelmäßige Check auf offene Ports. Das Tool Masscan kann hier helfen. (Bild: bitano - stock.adobe.com / KI-generiert)")