March 29, 2026

7.5 ARP Spoofing und MAC Flooding einfach erklärt

ARP Spoofing und MAC Flooding gehören zu den wichtigsten Layer-2-Angriffen in lokalen Netzwerken, weil sie direkt die Grundmechanismen von Ethernet-Switching und IPv4-Kommunikation ausnutzen. Für Einsteiger wirken lokale Netze oft stabil und vertrauenswürdig: Ein Gerät wird angeschlossen, erhält eine IP-Adresse, kommuniziert über das Gateway und der Switch leitet Frames zuverlässig weiter. In der Praxis basiert dieses Verhalten jedoch auf bestimmten Annahmen und Tabellen, die manipuliert oder überlastet werden können. Genau hier setzen ARP Spoofing und MAC Flooding an. ARP Spoofing missbraucht die Zuordnung zwischen IP- und MAC-Adressen, um Datenverkehr umzuleiten oder mitzulesen. MAC Flooding greift die MAC-Adresstabelle eines Switches an, um dessen normales Weiterleitungsverhalten zu stören. Für CCNA, Netzwerktechnik und Cybersecurity ist dieses Thema besonders wichtig, weil es sehr anschaulich zeigt, warum Access-Sicherheit, Segmentierung und Layer-2-Schutzmechanismen unverzichtbar sind.

Table of Contents

Warum Layer-2-Angriffe so wichtig sind

Lokale Netze werden oft zu sehr vertraut

Viele Sicherheitskonzepte konzentrieren sich stark auf Firewalls, Internetzugänge, VPNs oder Malware-Schutz. Das ist sinnvoll, führt aber manchmal dazu, dass lokale Netzbereiche unterschätzt werden. Gerade im selben VLAN oder Broadcast-Segment können Angreifer jedoch sehr wirkungsvoll agieren, wenn sie ein Gerät in das Netz bringen oder einen vorhandenen Host kompromittieren.

  • Ein Access-Port bietet direkten Zugang zum lokalen Segment.
  • Viele Geräte vertrauen ARP-Informationen ohne starke Prüfung.
  • Switches arbeiten effizient, aber nicht automatisch manipulationssicher.
  • Layer-2-Angriffe können die Basis für MITM oder Datendiebstahl bilden.

Dadurch wird klar: Netzwerksicherheit beginnt nicht erst am Internet-Edge, sondern bereits am lokalen Switchport.

ARP Spoofing und MAC Flooding zielen auf unterschiedliche Mechanismen

Obwohl beide Angriffe im lokalen Ethernet-Umfeld stattfinden, greifen sie unterschiedliche Teile des Netzwerkverhaltens an. ARP Spoofing manipuliert die logische Zuordnung von IPv4-Adressen zu MAC-Adressen. MAC Flooding versucht, die CAM- oder MAC-Tabelle eines Switches zu überlasten. Beide Angriffe können dazu führen, dass Datenverkehr anders fließt als vorgesehen.

  • ARP Spoofing zielt auf Adressauflösung und Vertrauensannahmen.
  • MAC Flooding zielt auf das Lern- und Weiterleitungsverhalten des Switches.

Was ARP im lokalen Netz macht

ARP verbindet IPv4-Adresse und MAC-Adresse

ARP, das Address Resolution Protocol, ist in IPv4-Netzen dafür zuständig, eine bekannte IP-Adresse in die passende MAC-Adresse aufzulösen. Ein Host kennt zum Beispiel die IP-Adresse seines Default Gateways, muss aber die MAC-Adresse dieses Gateways kennen, um Ethernet-Frames lokal korrekt senden zu können.

Ein typischer Ablauf ist:

  • Ein Host kennt die Ziel-IP oder die Gateway-IP.
  • Die passende MAC-Adresse ist noch unbekannt.
  • Der Host sendet eine ARP-Anfrage als Broadcast.
  • Das zuständige Gerät antwortet mit seiner MAC-Adresse.
  • Der Host speichert die Zuordnung in seiner ARP-Tabelle.

ARP ist damit ein essenzieller Mechanismus für lokale IPv4-Kommunikation.

ARP basiert stark auf Vertrauen

Das eigentliche Problem aus Sicht der Sicherheit ist, dass ARP historisch nicht mit starker Authentifizierung entwickelt wurde. Ein Gerät akzeptiert ARP-Antworten oft ohne kryptografische Prüfung. Dadurch kann ein Angreifer falsche Zuordnungen verbreiten und andere Hosts dazu bringen, falsche MAC-Adressen zu speichern.

Genau diese Schwäche bildet die Grundlage für ARP Spoofing.

Was eine MAC-Tabelle im Switch macht

Switches lernen MAC-Adressen dynamisch

Ein Ethernet-Switch arbeitet auf Layer 2 und lernt, an welchem Port welche MAC-Adresse erreichbar ist. Diese Zuordnungen werden in einer MAC-Adress- oder CAM-Tabelle gespeichert. Wenn ein Frame mit einer bekannten Ziel-MAC-Adresse eintrifft, kann der Switch ihn gezielt nur an den richtigen Port weiterleiten.

Das bringt große Vorteile:

  • gezieltes Forwarding statt unnötiger Weiterleitung
  • geringere Last im lokalen Netz
  • bessere Trennung von Endpunkten im selben VLAN

Die Effizienz des Switchings hängt also stark davon ab, dass diese Tabelle korrekt und ausreichend gefüllt ist.

Unbekannte Ziele werden geflutet

Wenn ein Switch eine Ziel-MAC-Adresse nicht kennt, bleibt ihm zunächst nur, den Frame an viele oder alle Ports im gleichen VLAN weiterzuleiten. Dieses Verhalten ist normal und notwendig, solange der Switch die Zieladresse noch nicht gelernt hat. Genau hier setzt MAC Flooding an: Der Angreifer versucht, den Switch in einen Zustand zu bringen, in dem viele Ziele wie „unbekannt“ behandelt werden.

Was ARP Spoofing ist

Falsche ARP-Zuordnungen werden absichtlich verbreitet

ARP Spoofing, oft auch ARP Poisoning genannt, ist ein Angriff, bei dem ein Angreifer gefälschte ARP-Antworten in einem lokalen Netz sendet. Ziel ist es, andere Hosts dazu zu bringen, eine bestimmte IP-Adresse mit der MAC-Adresse des Angreifers zu verknüpfen. Besonders attraktiv ist dabei die IP-Adresse des Default Gateways, weil darüber sehr viel Verkehr läuft.

Ein typisches Szenario ist:

  • Der Client glaubt, das Gateway habe die MAC-Adresse des Angreifers.
  • Das Gateway glaubt, der Client sei unter der MAC-Adresse des Angreifers erreichbar.
  • Der Verkehr zwischen beiden läuft nun über das System des Angreifers.

Damit sitzt der Angreifer logisch in der Mitte der Kommunikation.

Warum der Begriff Poisoning verwendet wird

Der Ausdruck „Poisoning“ beschreibt, dass die ARP-Tabelle des Opfers mit falschen Informationen „vergiftet“ wird. Die legitime Zuordnung wird überschrieben oder verdrängt. Der Host arbeitet danach mit einer fehlerhaften Sicht auf die lokale Netzumgebung, merkt das aber oft nicht sofort.

Welche Folgen ARP Spoofing haben kann

Man-in-the-Middle-Angriffe werden möglich

Die bekannteste Folge von ARP Spoofing ist ein MITM-Angriff. Wenn der Angreifer den Verkehr nicht nur abfängt, sondern auch korrekt weiterleitet, können beide Kommunikationspartner weiterarbeiten, ohne die Manipulation unmittelbar zu bemerken. Der Angreifer kann dabei Daten mitlesen, verändern oder aufzeichnen.

  • Mitlesen unverschlüsselter Verbindungen
  • Abgriff von Passwörtern oder Session-Daten
  • Manipulation von Inhalten
  • Umleitung auf andere Ziele

Gerade bei Protokollen ohne starke Transportverschlüsselung ist das besonders gefährlich.

Auch Denial-of-Service ist möglich

ARP Spoofing muss nicht zwingend für verdeckte MITM-Ziele genutzt werden. Falsche ARP-Einträge können auch einfach Kommunikation stören oder unterbrechen. Wenn der Datenverkehr an eine MAC-Adresse gesendet wird, die ihn nicht sinnvoll weiterleitet, entsteht ein lokaler Ausfall.

  • Hosts verlieren Verbindung zum Gateway
  • Kommunikation wird instabil
  • Dienste im selben Netz wirken „zufällig“ gestört

Woran man ARP Spoofing erkennen kann

Unplausible ARP-Zuordnungen sind ein Warnsignal

Ein typischer Hinweis ist, wenn kritische IP-Adressen plötzlich auf eine unerwartete oder identische MAC-Adresse zeigen. Besonders verdächtig ist es, wenn mehrere wichtige IP-Adressen, etwa Client und Gateway, scheinbar dieselbe MAC-Adresse haben oder sich Zuordnungen ohne erkennbaren Grund häufig ändern.

Typische Anzeichen sind:

  • Gateway-IP zeigt auf eine unbekannte MAC-Adresse
  • häufig wechselnde ARP-Einträge
  • ungewöhnliche lokale Verbindungsprobleme
  • starke Auffälligkeiten in MITM-nahen Szenarien

Hilfreiche Prüfungen auf Cisco-Geräten

In Cisco-nahen Umgebungen helfen besonders diese Befehle:

show arp
show mac address-table
show ip interface brief
show logging

Damit lassen sich ARP-Zuordnungen, lokale MAC-Lernprozesse, Interfaces und protokollierte Auffälligkeiten gemeinsam einordnen.

Was MAC Flooding ist

Die MAC-Tabelle des Switches wird absichtlich überlastet

MAC Flooding ist ein Angriff auf das Lernverhalten eines Switches. Der Angreifer sendet sehr viele Frames mit ständig wechselnden, meist gefälschten Quell-MAC-Adressen an den Switch. Dadurch versucht er, die MAC-Tabelle des Switches zu füllen oder zu überfordern.

Das Ziel ist nicht in erster Linie die normale Kommunikation über ARP, sondern das Verhalten des Switches selbst. Wenn die Tabelle überlastet oder unvollständig wird, kann der Switch unbekannte Ziel-MAC-Adressen nicht mehr gezielt zuordnen.

  • viele gefälschte Quell-MAC-Adressen
  • schnelles Befüllen der CAM-Tabelle
  • Verlust gezielter Weiterleitungsfähigkeit

Der Switch verhält sich dann eher wie ein Hub

Wenn der Switch eine Ziel-MAC nicht kennt, wird der Frame im selben VLAN geflutet. Genau das versucht der Angreifer systematisch zu provozieren. Im Extremfall werden dadurch viele Frames an Ports weitergeleitet, an denen sie normalerweise nicht erscheinen würden. Das kann Abhören oder Analyse fremden Verkehrs erleichtern.

MAC Flooding zielt also darauf ab, die gezielte Isolation des Switchings zu schwächen.

Welche Folgen MAC Flooding haben kann

Mehr Verkehr wird unnötig an viele Ports verteilt

Wenn der Switch gezielte Ziel-MAC-Adressen nicht mehr sauber zuordnen kann, wird Verkehr geflutet. Dadurch steigt nicht nur die Sichtbarkeit von Frames auf lokalen Ports, sondern oft auch die Last im Segment. Für legitime Endgeräte kann das zu Störungen oder erhöhter Belastung führen.

  • unnötige Weiterleitung von Frames
  • höhere lokale Last
  • mehr Sichtbarkeit für potenzielle Angreifer
  • mögliche Performance-Probleme im Segment

MAC Flooding kann Datensichtbarkeit erhöhen

Ein Hauptziel von MAC Flooding ist oft, dass ein Angreifer Verkehr sieht, der normalerweise nicht an seinem Port erscheinen würde. Je nach Netzdesign, Switch-Verhalten und Angriffsumsetzung kann dadurch das lokale Abhören bestimmter Kommunikationsströme erleichtert werden. Das macht MAC Flooding besonders interessant in Verbindung mit weiteren lokalen Angriffen.

ARP Spoofing und MAC Flooding im Vergleich

Unterschiedliche Ziele, ähnliche Relevanz

Beide Angriffe finden auf Layer 2 statt, unterscheiden sich aber im Kern deutlich:

  • ARP Spoofing: manipuliert IP-MAC-Zuordnungen in Hosts und Gateways
  • MAC Flooding: überlastet die MAC-Tabelle des Switches

ARP Spoofing zielt stärker auf Umleitung und MITM. MAC Flooding zielt stärker auf das Schalten selbst und die Sichtbarkeit von Frames.

In der Praxis können sich die Angriffe ergänzen

Ein Angreifer kann beide Konzepte kombinieren oder in derselben lokalen Umgebung mehrere Schwächen ausnutzen. Ein Netz mit offenen Access-Ports, fehlender Segmentierung und ohne Switch-Schutzfunktionen bietet dafür besonders günstige Bedingungen. Genau deshalb sollten beide Angriffe nicht isoliert, sondern als Teil der Access-Sicherheit betrachtet werden.

Warum diese Angriffe in Unternehmensnetzen relevant sind

Interne Netze sind nicht automatisch sicher

Ein häufiger Denkfehler besteht darin, das interne LAN als grundsätzlich vertrauenswürdig anzusehen. In Realität können kompromittierte Clients, falsch angeschlossene Geräte, unautorisierte Besucher oder unsichere Testsysteme lokale Risiken erzeugen. Gerade an offenen Netzwerkdosen oder schlecht kontrollierten Access-Ports wird diese Annahme problematisch.

Besonders kritisch sind:

  • Besprechungsräume mit aktiven Netzwerkanschlüssen
  • offene Büroflächen mit wenig Portkontrolle
  • fehlende Trennung von Gast- und Produktionsnetzen
  • große, flache Broadcast-Domänen

Vertrauen auf Layer 2 muss technisch abgesichert werden

Switches und Hosts verhalten sich effizient, aber nicht automatisch sicher. Gute Netzwerksicherheit verlangt deshalb, dass lokale Vertrauensannahmen aktiv geschützt werden. Genau hier kommen Maßnahmen wie Port Security, DHCP Snooping, Dynamic ARP Inspection und saubere VLAN-Designs ins Spiel.

Wie man sich gegen ARP Spoofing schützt

Dynamic ARP Inspection und DHCP Snooping

Eine besonders wichtige Schutzmaßnahme in Cisco-Umgebungen ist Dynamic ARP Inspection, kurz DAI. DAI prüft ARP-Pakete und kann gefälschte Antworten blockieren. Häufig arbeitet DAI zusammen mit DHCP Snooping, das eine vertrauenswürdige Zuordnungsdatenbank von IP, MAC und Port aufbaut.

Das bringt mehrere Vorteile:

  • gefälschte ARP-Antworten können erkannt werden
  • nur plausible Zuordnungen werden akzeptiert
  • MITM-nahe lokale Manipulation wird erschwert

Gerade in größeren Unternehmensnetzen ist das eine sehr wirksame Schutzfunktion.

Segmentierung und Portkontrolle

Neben DAI helfen auch allgemeine Architekturmaßnahmen:

  • Benutzer-, Management- und Gastnetze trennen
  • ungenutzte Ports deaktivieren
  • fremde Geräte an Access-Ports verhindern
  • kritische Systeme in getrennten Segmenten betreiben

Je kleiner und kontrollierter ein lokales Segment ist, desto geringer ist die Reichweite eines möglichen ARP-Angriffs.

Wie man sich gegen MAC Flooding schützt

Port Security ist die wichtigste Schutzmaßnahme

Gegen MAC Flooding ist Port Security eine besonders relevante Funktion. Sie erlaubt, die Anzahl zulässiger MAC-Adressen an einem Access-Port zu begrenzen oder festzulegen, welche MAC-Adressen dort überhaupt erwartet werden. Dadurch kann ein Switch verdächtiges Verhalten früh erkennen und unterbinden.

Wichtige Vorteile von Port Security sind:

  • Begrenzung der MAC-Adressen pro Port
  • Schutz gegen massenhaft wechselnde Quell-MACs
  • bessere Kontrolle über Endgeräte an Access-Ports

Access-Schicht bewusst härten

Auch bei MAC Flooding gilt: Gute Access-Sicherheit beginnt mit sauberem Portdesign und klaren Regeln. Ein Port, an dem nur ein einzelnes Endgerät erwartet wird, sollte nicht offen für beliebig viele wechselnde MAC-Adressen bleiben. Gerade an Benutzeranschlüssen ist diese Härtung sinnvoll und praxistauglich.

Typische Cisco-nahe Prüfungen im Kontext dieser Angriffe

ARP-, MAC- und Portsicht kombinieren

Um lokale Auffälligkeiten zu erkennen, sollten mehrere Informationsquellen kombiniert betrachtet werden. Nützliche Befehle sind:

show arp
show mac address-table
show interfaces status
show vlan brief
show logging

Diese Kombination hilft, verdächtige Zuordnungen, aktive Ports, VLAN-Kontext und Logmeldungen gemeinsam zu analysieren.

Auch ACLs und Managementzugänge im Blick behalten

Auch wenn ARP Spoofing und MAC Flooding primär Layer-2-Themen sind, sollten Access-Sicherheit, Managementzugänge und Segmentierungsregeln immer mitgedacht werden. Deshalb sind auch diese Prüfungen sinnvoll:

show access-lists
show running-config
show ip interface brief

Sie helfen bei der Einordnung, ob Managementnetze, lokale Segmente und Zugriffspfade grundsätzlich sauber aufgebaut sind.

Warum dieses Thema für CCNA und Cybersecurity unverzichtbar ist

Die Angriffe zeigen, warum Switch-Sicherheit kein Nebenthema ist

ARP Spoofing und MAC Flooding machen sehr deutlich, dass Sicherheit nicht erst bei Firewalls oder Internetzugängen beginnt. Auch die lokale Access-Schicht und das Verhalten von Switches und Hosts sind sicherheitskritisch. Wer diese Angriffe versteht, versteht auch besser, warum VLANs, Port Security, DAI und DHCP Snooping keine optionalen Luxusfunktionen sind.

  • ARP Spoofing erklärt lokale MITM-Risiken
  • MAC Flooding erklärt die Grenzen dynamischen Switching-Verhaltens
  • beide zusammen zeigen die Bedeutung von Access-Härtung

Layer-2-Sicherheit ist ein Fundament sicherer Netzwerke

Am Ende geht es nicht nur um zwei Angriffsnamen, sondern um ein Grundverständnis für Vertrauen im lokalen Netz. Wer ARP Spoofing und MAC Flooding sauber einordnen kann, denkt Netzwerksicherheit automatisch mehrschichtig und erkennt schneller, warum lokale Ports, Broadcast-Domänen, Managementzugänge und Switch-Konfigurationen genauso wichtig sind wie Firewalls und VPNs.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

23.8 Moderne Sicherheitskonzepte im Überblick zusammengefasst

Anhang E → Zusätzliche Lernressourcen für Cybersecurity und Cisco

24.1 Multiple-Choice-Fragen zu den Grundlagen der Cybersecurity mit Lösungen

24.2 Fragen zu Netzwerkprotokollen und Angriffen mit Lösungen

24.3 Fragen zu ACLs und Segmentierung mit ausführlichen Lösungen

24.4 Fragen zu Firewalls und IDS/IPS mit Lösungen

24.5 Fragen zu Kryptografie und Zugriffskontrolle mit Lösungen

24.6 Fragen zu Monitoring und Incident Response mit Lösungen

24.7 Ausführliche Lösungen zu allen CCNA-Cybersecurity-Fragen

24.8 Lernerfolg bewerten: Deinen Cybersecurity-Fortschritt richtig prüfen

Fazit → CCNA Cybersecurity erfolgreich lernen: Die wichtigsten Erkenntnisse auf einen Blick

Botschaft an die Leser → Dein Weg in die Cybersecurity beginnt jetzt