ARP
O que é ARP?
ARPProtocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.
O Address Resolution Protocol é definido pela RFC 826 (1982) e opera na fronteira entre a camada de enlace e a camada de rede. Quando um host precisa de enviar um pacote IPv4 a um destino na mesma sub-rede, ele difunde em broadcast uma requisição ARP ("quem tem 192.168.1.1?") e o dono responde com o seu endereço MAC. O mapeamento é armazenado em cache na tabela ARP para os quadros seguintes.
flowchart TD H[Host A quer 192.168.1.1] -->|"broadcast: quem tem .1?"| LAN[(Domínio de broadcast)] LAN --> GW[Gateway .1] LAN --> ATK[Atacante] GW -->|"resposta: .1 é aa:bb:cc"| H ATK -->|"resposta gratuita: .1 é o meu MAC"| H H -.->|cache envenenada| ATK ATK -->|retransmite / escuta| GW
O ARP não possui autenticação, portanto qualquer host do segmento pode responder ou enviar respostas gratuitas não solicitadas. Isto permite ataques de ARP spoofing / ARP poisoning, redirecionando o tráfego através de um atacante para escuta ou manipulação — a clássica primitiva on-path (man-in-the-middle), automatizada por ferramentas como arpspoof (do dsniff), Ettercap e Bettercap. Como as respostas sobrescrevem as entradas da cache sem qualquer desafio, alguns pacotes por segundo bastam para manter o sequestro. As defesas em switches geridos incluem a Dynamic ARP Inspection (DAI), que valida as respostas contra a tabela de associações do DHCP snooping, além de entradas ARP estáticas para hosts críticos, port security e a segmentação de fronteiras de confiança com VLANs. O IPv6 abandona o ARP em favor do Neighbor Discovery (ICMPv6, RFC 4861), cuja extensão SEND (RFC 3971) acrescenta endereços gerados criptograficamente para resistir à mesma classe de spoofing.
● Exemplos
- 01
O Wireshark mostra requisições e respostas ARP quando um host inicializa e aprende o MAC do seu gateway padrão.
- 02
Um atacante envia respostas ARP gratuitas afirmando ser dono do IP do gateway, redirecionando o tráfego da LAN.
● Perguntas frequentes
O que é ARP?
Protocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros. Pertence à categoria Segurança de rede da cibersegurança.
O que significa ARP?
Protocolo da camada de enlace (RFC 826) que mapeia um endereço IPv4 ao endereço MAC de um host no mesmo domínio de broadcast para permitir a entrega de quadros.
Como se defender contra ARP?
As defesas contra ARP costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para ARP?
Nomes alternativos comuns: Address Resolution Protocol.