Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 071

ARP

Revisado porCybersecurity entrepreneur & security researcher

O que é ARP?

ARPProtocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.


O Address Resolution Protocol é definido pela RFC 826 (1982) e opera na fronteira entre a camada de enlace e a camada de rede. Quando um host precisa de enviar um pacote IPv4 a um destino na mesma sub-rede, ele difunde em broadcast uma requisição ARP ("quem tem 192.168.1.1?") e o dono responde com o seu endereço MAC. O mapeamento é armazenado em cache na tabela ARP para os quadros seguintes.

flowchart TD
  H[Host A quer 192.168.1.1] -->|"broadcast: quem tem .1?"| LAN[(Domínio de broadcast)]
  LAN --> GW[Gateway .1]
  LAN --> ATK[Atacante]
  GW -->|"resposta: .1 é aa:bb:cc"| H
  ATK -->|"resposta gratuita: .1 é o meu MAC"| H
  H -.->|cache envenenada| ATK
  ATK -->|retransmite / escuta| GW

O ARP não possui autenticação, portanto qualquer host do segmento pode responder ou enviar respostas gratuitas não solicitadas. Isto permite ataques de ARP spoofing / ARP poisoning, redirecionando o tráfego através de um atacante para escuta ou manipulação — a clássica primitiva on-path (man-in-the-middle), automatizada por ferramentas como arpspoof (do dsniff), Ettercap e Bettercap. Como as respostas sobrescrevem as entradas da cache sem qualquer desafio, alguns pacotes por segundo bastam para manter o sequestro. As defesas em switches geridos incluem a Dynamic ARP Inspection (DAI), que valida as respostas contra a tabela de associações do DHCP snooping, além de entradas ARP estáticas para hosts críticos, port security e a segmentação de fronteiras de confiança com VLANs. O IPv6 abandona o ARP em favor do Neighbor Discovery (ICMPv6, RFC 4861), cuja extensão SEND (RFC 3971) acrescenta endereços gerados criptograficamente para resistir à mesma classe de spoofing.

Exemplos

  1. 01

    O Wireshark mostra requisições e respostas ARP quando um host inicializa e aprende o MAC do seu gateway padrão.

  2. 02

    Um atacante envia respostas ARP gratuitas afirmando ser dono do IP do gateway, redirecionando o tráfego da LAN.

Perguntas frequentes

O que é ARP?

Protocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros. Pertence à categoria Segurança de rede da cibersegurança.

O que significa ARP?

Protocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.

Como se defender contra ARP?

As defesas contra ARP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para ARP?

Nomes alternativos comuns: Address Resolution Protocol.

Termos relacionados

Ver também