Automatic Private IP Adressing


Automatic Private IP Adressing (APIPA) ist ein Zeroconf-Verfahren für die automatische Allokation von sogenannten Link-Local-IPv4-Adressen ohne DHCP. APIPA verwendet das Address Resolution Protocol (ARP), um für ein Netzwerk-Interface automatisch eine freie IP-Adresse auszuwählen. Zu diesem Zweck sind von der IANA die linklokalen IPv4-Adressen zwischen 169.254.1.0 und 169.254.254.255 (RFC 3330) vorgesehen worden. Davon sind die ersten 256 und die letzten 256 Adressen für zukünftige Anwendungen reserviert und dürfen nicht ausgewählt werden. Wenn ein Rechner eine Link Local IP Address benutzen will, wählt er zufällig eine aus dem genannten Bereich aus. Bei der Initialisierung des Zufallsgenerators für die Auswahl werden auch rechnerspezifische Information, wie die MAC-Adresse des Netzwerkinterfaces, verwendet. Damit wird, so lange es später zu keinem Adresskonflikt kommt, sichergestellt, dass für einen Rechner jedes Mal dieselbe IP-Adresse verwendet werden kann. Nach der Auswahl einer IP-Adresse muss der Rechner diese für sich beanspruchen und überprüfen, ob sie nicht von einen anderen Rechner belegt ist. Die Überprüfung erfolgt mit Hilfe von ARP-Probe-Paketen. Die ARP-Probes werden in zufälligen Zeitintervallen von 1 bis 2 Sekunden verschickt. Taucht bis zu 2 Sekunden nach dem Verschicken kein Antwortpaket und kein Probe-Paket mit der gleichen IP-Adresse aber einer fremden MAC-Adresse auf, besteht kein Konflikt und die IP-Adresse kann verwendet werden. Dazu muss sie noch per ARP-Announcement den anderen LAN-Stationen bekanntgegeben werden. Im Konfliktfall wird mit einer neuen Zufalls-IP weiter probiert. Um ARP-Stürme in Form von sich häufende Konflikten zum Beispiel nach einem Stromausfall zu vermeiden, muss jeder Rechner nach zehn Fehlversuchen die Geschwindigkeit auf maximal eine Überprüfung pro Minute reduzieren.

Auch nach der Belegung einer IP-Adresse muss die Erkennung von Konflikten fortgeführt werden. Es kann ja sein, dass zu einem späteren Zeitpunkt eine LAN-Station dazukommt, der noch nichts von der Belegung bekannt ist. Der Rechner hat nun zwei Möglichkeiten, nämlich eine neue IP-Adresse auszuwählen, oder seine IP-Adresse zu verteidigen. Letzteres ist besonders dann ratsam, wenn der Rechner noch TCP-Verbindungen offen hat. Wurden noch keine kollidierenden ARP-Pakete empfangen, erfolgt die Verteidigung dadurch, dass der Rechner ein ARP-Announcement aussendet. Konnte der Rechner jedoch in den letzten Sekunden schon einen Adresskonflikt feststellen, so muss er eine neue IP-Adresse auswählen, um eine Endlosschleife zu vermeiden, falls zwei Rechner die gleiche IP-Adresse verteidigen wollen oder wenn ein Rechner hat eine IP-Adresse im Local-Link-IP-Bereich statisch zugewiesen bekommen.

0-9|A|B|C|D|E|F|G|H|I|J|K|L|M|N|O|P|Q|R|S|T|U|V|W|X|Y|Z|alle

Suche im Lexikon nach im

 

Fachartikel

Anwenderbericht: Clientmanagement beim Drohnendistributor [12.08.2020]

Ob für das Düngen von Feldern in der Landwirtschaft oder zur Koordination von Rettungseinsätzen – Drohnen lassen sich in vielen Bereichen einsetzen. Es ist ein Markt mit enormem Wachstumspotenzial, und davon profitieren auch Großhändler wie Solectric, die nach einer globalen Steuerung ihres wachsenden Rechnerparks suchten. Von einer Stelle aus sollte sichergestellt werden, dass alle Virenupdates installiert und Windows, Office, Adobe sowie diverse Runtimes überall auf dem gleichen Stand sind. Ein ideales Einsatzgebiet für effizientes Clientmanagement. [mehr]

Grundlagen

Pass-the-Hash-Angriffe [23.06.2020]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Der ursprünglich sehr aufwendige Pass-the-Hash-Attacke ist heute nur noch eine Sache weniger Klicks. Wir beleuchten die Grundlagen dieses Angriffsvektors. [mehr]