Dynamic ARP Inspection (DAI): Funktionsweise + False-Positive-Troubleshooting

Dynamic ARP Inspection (DAI) ist eine zentrale Schutzfunktion auf Layer 2, um ARP-Spoofing und Man-in-the-Middle-Angriffe im lokalen Netzwerk zu verhindern. ARP (Address Resolution Protocol) ist bewusst simpel: Ein Host fragt „Wer hat IP X?“ und erwartet eine Antwort mit der passenden MAC-Adresse. Genau diese Einfachheit macht ARP anfällig: Jeder Teilnehmer im VLAN kann prinzipiell ARP-Antworten senden – auch für IPs, die ihm nicht gehören. Ohne Schutz kann ein Angreifer Clients dazu bringen, das falsche Default Gateway oder falsche Server-MACs zu „lernen“, wodurch Traffic umgeleitet oder mitgelesen wird. DAI setzt hier an, indem der Switch ARP-Pakete inspiziert, verifiziert und nur dann weiterleitet, wenn sie zu einer bekannten, legitimen Zuordnung aus IP, MAC, VLAN und Port passen. In vielen Enterprise-Netzen ist DAI nicht nur ein Security-Feature, sondern auch ein Reliability-Guardrail: Es verhindert, dass Fehlkonfigurationen oder Rogue-Geräte im selben VLAN „zufällig“ die Erreichbarkeit ganzer Segmente zerstören. Gleichzeitig ist DAI berüchtigt für False Positives, wenn die Abhängigkeiten (insbesondere DHCP Snooping) nicht sauber umgesetzt sind. Dieser Artikel erklärt die Funktionsweise von Dynamic ARP Inspection verständlich und zeigt ein praxisnahes Troubleshooting, um False Positives schnell zu diagnostizieren und zu beheben – ohne den Schutz gleich komplett abzuschalten.

Warum ARP ein Klassiker für Angriffe und Störungen ist

ARP ist in IPv4-Netzen die Brücke zwischen IP-Adresse und MAC-Adresse: Bevor ein Host ein IP-Paket an einen Nachbarn im gleichen Subnetz senden kann, muss er dessen MAC-Adresse kennen. ARP funktioniert über Broadcast (Request) und Unicast/Broadcast (Reply). Das Protokoll kennt keine Authentisierung. Daraus ergeben sich typische Probleme:

• ARP-Spoofing: Ein Gerät behauptet, eine IP (z. B. das Default Gateway) zu besitzen, und sendet gefälschte ARP-Replies.
• Gratuitous ARP: Hosts kündigen IP/MAC-Zuordnungen aktiv an (z. B. nach Failover). Wenn das unkontrolliert oder falsch passiert, kann es ARP-Tabellen vergiften.
• „Nebenbei“-Störungen: Falsche Netzmasken, IP-Konflikte oder falsch konfigurierte virtuelle Umgebungen erzeugen ARP-Muster, die wie Angriffe aussehen.

Für Protokollgrundlagen ist RFC 826 (Address Resolution Protocol) eine hilfreiche Referenz, weil es die Logik von ARP (Requests/Reponses, Broadcast-Natur) nachvollziehbar beschreibt.

Was Dynamic ARP Inspection (DAI) macht

DAI ist ein Switch-Mechanismus, der ARP-Pakete auf Ports überwacht und gegen eine „Wahrheit“ abgleicht. Diese Wahrheit ist typischerweise eine Binding-Datenbank, die aus DHCP Snooping stammt: Sie enthält pro Client die Zuordnung aus IP-Adresse, MAC-Adresse, VLAN und Switchport (oft ergänzt um Lease-Zeit). Der Kern von DAI ist:

• ARP-Pakete werden inspiziert (Request und/oder Reply, je nach Plattform/Policy).
• Validierung: Stimmen Sender-IP, Sender-MAC und (je nach Implementierung) VLAN/Port mit einem gültigen Binding überein?
• Enforcement: Wenn die Prüfung fehlschlägt, wird das ARP-Paket gedroppt und idealerweise geloggt/gezählt.

Das Ergebnis: Ein Host kann nicht mehr „beliebige“ ARP-Informationen ins VLAN drücken, weil der Switch die ARP-Nachrichten als Gatekeeper filtert.

DAI hängt fast immer an DHCP Snooping

In der Praxis ist DAI selten ein isoliertes Feature. In vielen Umgebungen gilt: DAI ist nur so gut wie die Qualität der DHCP-Snooping-Bindings. DHCP Snooping baut die Bindings auf, DAI nutzt sie. Das führt zu einem wichtigen operativen Prinzip:

• Wenn DHCP Snooping falsch konfiguriert ist (z. B. falsche trusted/untrusted Ports, fehlende VLAN-Aktivierung, fehlende Persistenz), entstehen unvollständige oder falsche Bindings.
• DAI interpretiert diese Lücken als „unbekannt/ungültig“ und dropt ARP – was als False Positive wahrgenommen wird.

Gerade deshalb sollten DHCP Snooping und DAI als Paket eingeführt werden: erst Snooping stabilisieren und validieren, dann DAI aktivieren, danach erst optionale Folge-Controls wie IP Source Guard.

Trusted vs. Untrusted Ports: Das wichtigste DAI-Konzept

Wie bei DHCP Snooping arbeitet DAI mit einer Vertrauensgrenze pro Port:

• Untrusted Ports: typische Client-Ports. ARP von Clients wird validiert und bei Verstößen gedroppt.
• Trusted Ports: Uplinks/Trunks oder Ports zu Geräten, deren ARP-Verhalten nicht sinnvoll über Snooping-Bindings abbildbar ist (z. B. bestimmte Gateways, Firewalls, Load Balancer, spezielle Appliances).

Eine häufige Fehlerquelle ist ein falsch gesetztes Trust-Modell: Wird ein Uplink fälschlich als untrusted behandelt, dropt DAI ARP-Pakete, die für das gesamte VLAN relevant sind (z. B. vom Gateway) – und das Segment wirkt „komplett down“.

Welche Checks DAI typischerweise durchführt

Die exakten Prüfungen sind herstellerabhängig, aber die meisten Implementierungen kombinieren mehrere Validierungen:

• IP/MAC-Check: Sender-IP und Sender-MAC müssen zum Binding passen.
• VLAN/Port-Check: Die Zuordnung muss auf dem richtigen VLAN und am richtigen Port gesehen werden.
• ARP-Header-Validierung: Plausibilitätschecks (z. B. ungültige Felder, „0.0.0.0“-Muster, inkonsistente Absender-/Zielangaben), je nach Plattform.

Das ist wichtig fürs Troubleshooting: Ein Drop kann nicht nur am fehlenden Binding liegen, sondern auch an einem strikteren Header-Check, der ein ungewöhnliches, aber legitimes ARP-Muster als „invalid“ bewertet.

Was DAI im Incident „kaputt“ machen kann – und warum das oft ein False Positive ist

Wenn DAI dropt, sieht das aus Anwendersicht selten nach „ARP“ aus. Typische Symptome sind:

• Client hat IP, aber keine Konnektivität (insbesondere kein Ping zum Gateway).
• Nur ein VLAN betroffen, andere Netze funktionieren.
• Intermittierende Ausfälle nach Renew/Move/Failover.
• „Nach Switch-Reboot“ geht nichts, obwohl Links up sind (Bindings fehlen oder sind leer).

Der Klassiker: DHCP funktioniert, aber ARP wird durch DAI gedroppt, weil die Binding-Tabelle nicht vollständig ist oder weil ein Gerät ARP sendet, ohne ein DHCP-Lease zu haben (statische IP, HA-Gateway, Appliance).

False-Positive-Troubleshooting: Ein praxistauglicher Ablauf

Das Ziel ist, innerhalb weniger Minuten zu entscheiden, ob DAI korrekt einen Angriff blockt oder ob es sich um eine legitime Kommunikation handelt, die fälschlich als Verstoß gewertet wird. Ein strukturierter Ablauf verhindert hektisches „DAI ausmachen“.

Schritt 1: Scope eingrenzen

• Welche VLANs sind betroffen? Nur ein Client-VLAN oder mehrere?
• Nur einzelne Ports/Clients oder flächig?
• Seit wann? Korrelation mit Change, Reboot, Link-Failover, DHCP-Server-Change?

Schritt 2: DAI-Drops/Violations prüfen

Die meisten Plattformen liefern Counter, Logs oder Events für DAI-Verstöße. Suchen Sie nach:

• „DAI drop“, „ARP inspection drop“, „invalid ARP“
• Port, VLAN, MAC und Sender-IP im Violation-Event
• Rate der Violations (spiky vs. dauerhaft)

Wenn keine Telemetrie vorhanden ist, ist DAI operativ schwer zu verantworten. In diesem Fall ist ein Hardening-Schritt oft: Logging/Export aktivieren und ins SIEM/NOC-Dashboard einbinden.

Schritt 3: Binding-Tabelle (DHCP Snooping) gegenprüfen

Die zentrale Frage lautet: Gibt es ein Binding für die betroffene Sender-IP/MAC im richtigen VLAN und am richtigen Port?

• Binding fehlt: Häufigste Ursache für False Positives (statische IP, Snooping nicht aktiv im VLAN, DB nicht persistent, falsche trusted Ports bei Snooping).
• Binding existiert, aber Port stimmt nicht: Hinweis auf MAC Move/Flap, Topologieproblem, falsches Patchen oder Virtualisierung (VM-Migration, vSwitch-Fehler).
• Binding existiert, aber IP/MAC weicht ab: IP-Konflikt oder Spoofing – hier ist ein echter Security-Incident plausibel.

Schritt 4: Sonderfälle identifizieren (die fast immer False Positives sind)

Ein großer Anteil an DAI-Problemen entsteht durch legitime Sonderfälle, die nicht über DHCP-Bindings abgebildet sind:

• Statische IPs auf Clients oder IoT (kein DHCP-Lease, kein Binding).
• HA-Setups mit Virtual IPs (z. B. HSRP/VRRP/Cluster-Gateways), die Gratuitous ARP senden.
• Load Balancer/Firewalls im gleichen VLAN, die ARP-Proxying oder spezielle ARP-Muster nutzen.
• Server mit NIC-Teaming/Bridging oder Hypervisor, bei dem mehrere MACs über einen Port laufen.

Die operative Konsequenz ist meist nicht „DAI ausschalten“, sondern: Ports für solche Geräte gezielt als trusted definieren oder statische Bindings/ACL-Ausnahmen einführen – abhängig von Plattform und Risikoappetit.

Schritt 5: ARP-Verhalten auf Paketebene verifizieren (wenn nötig)

Wenn die Lage unklar ist, hilft ein kurzer PCAP auf einem Mirror-Port (SPAN/ERSPAN) oder direkt am betroffenen Host. Sie suchen nach:

• ARP Replies, die „zu gut“ sind (Gateway-IP mit fremder MAC).
• Hohe Rate an Gratuitous ARP ohne plausiblen Anlass.
• ARP Requests, die beantwortet werden, aber Clients trotzdem „falsche“ MACs lernen.

Ein allgemeiner Leitfaden zum Protokollverständnis ist RFC 826; für praktische Capture-Methodik ist ein SPAN/PCAP-Setup typischerweise hersteller- und toolabhängig, aber das Prinzip bleibt gleich.

Die häufigsten Failure Modes bei DAI – und wie Sie sie beheben

Im Folgenden die Failure Modes, die in Enterprise-Netzen besonders oft auftreten, inklusive typischer Fix-Strategien.

DHCP Snooping ist nicht (richtig) aktiv im VLAN

• Symptom: DAI dropt ARP für viele Clients; Binding-Tabelle ist leer oder lückenhaft.
• Ursache: Snooping nicht auf dem VLAN aktiviert oder VLAN nicht durchgehend auf allen Switches korrekt.
• Fix: Snooping VLAN-spezifisch korrekt aktivieren, Trunk-VLAN-Consistency prüfen, anschließend Bindings neu aufbauen (Renew/Release oder kontrollierter Reconnect).

Snooping trusted Ports falsch gesetzt

• Symptom: Nur bestimmte Bereiche bekommen Bindings; andere nicht. DAI dropt selektiv.
• Ursache: DHCP-Antworten laufen über einen Uplink, der als untrusted gilt, oder über einen nicht erwarteten Pfad.
• Fix: Trusted-Pfad für DHCP konsistent definieren; insbesondere Uplinks/Trunks in Richtung DHCP-Relay/Server als trusted.

Binding-Datenbank nicht persistent (Reboot-Falle)

• Symptom: Nach Switch-Reboot sind viele Clients „down“, bis sie DHCP erneuern; DAI dropt ARP in der Zwischenzeit.
• Ursache: Snooping-DB wird nicht gespeichert oder nicht schnell genug wieder geladen.
• Fix: Persistenz/Sync aktivieren (lokal/remote, je nach Plattform), Boot- und Recovery-Tests durchführen, DAI ggf. erst aktivieren, wenn DB zuverlässig steht.

Statische IPs und Appliances ohne DHCP-Lease

• Symptom: Einzelne Geräte (oft Drucker, OT/IoT, Server) verlieren Konnektivität, obwohl andere Clients funktionieren.
• Ursache: Kein Binding vorhanden; DAI wertet ARP als ungültig.
• Fix: Entweder (a) statische Bindings pflegen, (b) die Geräte in ein eigenes VLAN mit passender Policy legen, oder (c) den Port gezielt als trusted konfigurieren, wenn das Risiko akzeptabel ist.

HA-Gateways und Gratuitous ARP (VIP-Failover)

• Symptom: Nach Failover (Gateway/Firewall/Load Balancer) brechen Sessions weg, ARP wirkt instabil.
• Ursache: VIP sendet Gratuitous ARP, das nicht zum Binding passt oder auf einem Port ankommt, der nicht trusted ist.
• Fix: HA-Ports als trusted definieren oder gezielte Ausnahmen/ACL-Mechanismen nutzen; zusätzlich prüfen, ob die HA-Architektur korrekt segmentiert ist.

Rate Limits zu aggressiv (DAI-Rate Limiting)

Viele Switches bieten Rate Limiting für ARP-Inspektion, um ARP Storms und CPU-Last zu begrenzen. Zu niedrige Werte führen zu Drops, die wie Security-Events aussehen. Eine einfache Dimensionierung kann sich an erwarteten ARP-Ereignissen orientieren:

L≥ C×A S

• L: minimale ARP-Rate-Limit-Schwelle (pps) pro Port
• C: Anzahl Hosts hinter dem Port (typisch 1 am Client-Port, höher bei AP/Hypervisor)
• A: erwartete ARP-Ereignisse pro Host im Peak (z. B. nach Link-Up/Failover; konservativ 2–5 pps kurzzeitig)
• S: Sicherheitsfaktor (z. B. 1–2), um kurze Bursts nicht zu drosseln

In der Praxis ist ein rollenbasiertes Limiting sinnvoll: Client-Port niedriger, AP-/Hypervisor-Port höher, Uplink-Port sehr hoch oder trusted (je nach Design).

Best Practices: DAI produktionssicher einführen

DAI ist am stabilsten, wenn es als kontrollierte Einführung mit klaren Rollentemplates umgesetzt wird:

• Vorarbeit: DHCP Snooping muss sauber laufen (VLAN-Scope, trusted Pfade, Persistenz).
• Rollenbasierte Portprofile: Client, VoIP+Client, AP, Hypervisor, Uplink, Appliance – jeweils mit passenden Trust- und Rate-Limit-Werten.
• Canary-Deployment: Erst in einem gut verstandenen Bereich aktivieren, Telemetrie auswerten, dann ausrollen.
• Ausnahmen dokumentieren: Statische IPs, VIPs, Sondergeräte – und wie sie DAI-konform betrieben werden.
• Observability als Pflicht: DAI Violations, Drops, Rate-Limit-Hits und Binding-Lücken müssen im NOC sichtbar sein.

Als ergänzende Einordnung von Segmentierung und Kontrollpunkten in einer Defense-in-Depth-Architektur ist das OWASP Network Segmentation Cheat Sheet ein nützlicher Rahmen, um DAI nicht als isolierten „Trick“, sondern als operierbaren Baustein zu betrachten.

Validierungs-Checkliste: Nach einem Change oder bei Incident

Diese Checkliste ist bewusst minimalistisch und auf die häufigsten Ursachen von False Positives fokussiert:

• Ist DHCP Snooping im betroffenen VLAN aktiv, und entstehen Bindings für normale Clients?
• Sind die DHCP-Pfade (Server/Relay) vollständig über trusted Ports abgedeckt?
• Ist DAI im VLAN aktiv, und sind Uplinks/Gateway-/HA-Ports korrekt als trusted klassifiziert?
• Gibt es DAI-Violations mit konkreten IP/MAC/Port-Hinweisen – und passen diese zu Bindings?
• Sind statische IPs oder VIPs im VLAN vorhanden, und gibt es dafür definierte Ausnahmen?
• Greifen Rate Limits (ARP), insbesondere nach Reconnect/Failover?
• Gibt es MAC-Flapping oder Broadcast-Anstieg, der auf ein L2-Problem (Loop/Instabilität) hindeutet?

Outbound-Quellen für Protokoll- und Praxiswissen

Für die Grundlagen von ARP ist RFC 826 die zentrale Referenz. Für den Kontext der DHCP-Abhängigkeit (Snooping-Bindings als Grundlage für DAI) sind die DHCP-Spezifikationen RFC 2131 und RFC 2132 hilfreich; Option-82-Designs stützen sich häufig auf RFC 3046. Für eine praxisnahe Herstellerperspektive auf DAI und seine Einbettung in DHCP Snooping bieten Implementierungsleitfäden wie die Cisco-Dokumentation zu DHCP Snooping und ergänzende Security-Design-Ressourcen wie das OWASP Network Segmentation Cheat Sheet einen nützlichen Rahmen für operierbare Controls.

Cisco Netzwerkdesign, CCNA Support & Packet Tracer Projekte

Cisco Networking • CCNA • Packet Tracer • Network Configuration

Ich biete professionelle Unterstützung im Bereich Cisco Computer Networking, einschließlich CCNA-relevanter Konfigurationen, Netzwerkdesign und komplexer Packet-Tracer-Projekte. Die Lösungen werden praxisnah, strukturiert und nach aktuellen Netzwerkstandards umgesetzt.

Diese Dienstleistung eignet sich für Unternehmen, IT-Teams, Studierende sowie angehende CCNA-Kandidaten, die fundierte Netzwerkstrukturen planen oder bestehende Infrastrukturen optimieren möchten. Finden Sie mich auf Fiverr.

Leistungsumfang:

• Netzwerkdesign & Topologie-Planung

• Router- & Switch-Konfiguration (Cisco IOS)

• VLAN, Inter-VLAN Routing

• OSPF, RIP, EIGRP (Grundlagen & Implementierung)

• NAT, ACL, DHCP, DNS-Konfiguration

• Troubleshooting & Netzwerkoptimierung

• Packet Tracer Projektentwicklung & Dokumentation

• CCNA Lern- & Praxisunterstützung

Lieferumfang:

• Konfigurationsdateien

• Packet-Tracer-Dateien (.pkt)

• Netzwerkdokumentation

• Schritt-für-Schritt-Erklärungen (auf Wunsch)

Arbeitsweise:Strukturiert • Praxisorientiert • Zuverlässig • Technisch fundiert

CTA:
Benötigen Sie professionelle Unterstützung im Cisco Networking oder für ein CCNA-Projekt?
Kontaktieren Sie mich gerne für eine Projektanfrage oder ein unverbindliches Gespräch. Finden Sie mich auf Fiverr.