Sempre que você abre um site, faz streaming de um vídeo ou envia um arquivo através da sua rede local, algo garante silenciosamente que seus dados cheguem ao dispositivo correto. Muitas vezes, esse algo é o ARP.
O Protocolo de Resolução de Endereços (ARP) atua nos bastidores das redes locais, traduzindo endereços IP em endereços físicos de dispositivos para que os dados saibam exatamente para onde ir. Sem ele, os dispositivos na mesma rede não saberiam como encontrar uns aos outros. Neste guia, você aprenderá como o ARP funciona, onde ele se encaixa nas redes e por que também pode ser alvo de certos tipos de ataques.
O que é ARP e como funciona?

O ARP é um protocolo que ajuda os dispositivos a se encontrarem em uma rede local. Ele faz isso associando o endereço IP de um dispositivo ao seu endereço MAC (Controle de Acesso ao Meio), um número exclusivo que identifica o hardware do dispositivo.
Quando um dispositivo se conecta a uma rede, ele se comunica utilizando seu endereço MAC na camada de ligação de dados. Se ele obtiver um endereço IP via DHCP, outros dispositivos poderão descobrir esse IP com o tempo. No entanto, quando um dispositivo precisa enviar dados para um IP específico na rede local, ele ainda necessita saber qual endereço MAC corresponde a esse IP. É aí que entra o ARP.
Imagine o envio de um arquivo de um notebook para uma impressora. O notebook já conhece o endereço IP da impressora, pois ele foi atribuído pela rede. Porém, ele ainda precisa do endereço MAC da impressora para conseguir entregar o arquivo. O ARP ajuda o notebook a encontrar esse endereço de hardware.
Para entender como o ARP funciona na prática, considere dois dispositivos de rede: Dispositivo A e Dispositivo B. Veja como eles utilizariam o protocolo ARP:
- O Dispositivo A verifica seu cache ARP em busca do endereço MAC solicitado. Trata-se de uma pequena lista interna que informa ao Dispositivo A se existe um endereço MAC correspondente ao endereço IP do Dispositivo B. Se o endereço MAC estiver presente, os dispositivos iniciam a comunicação. As entradas do cache ARP expiram após um curto período (conhecido como timeout do cache ARP), que determina por quanto tempo um dispositivo mantém um mapeamento de IP para MAC.
- Se o cache não contiver os dados do endereço MAC, o Dispositivo A prepara uma solicitação ARP. Essa é uma mensagem que contém os endereços IP e MAC do Dispositivo A e o endereço IP do Dispositivo B (o campo do endereço MAC deste último permanece em branco).
- O Dispositivo A transmite sua solicitação ARP. Ele a envia por toda a LAN para que todos os dispositivos conectados a ela recebam a mensagem.
- Os dispositivos da LAN verificam a solicitação ARP. O endereço IP do Dispositivo B corresponde ao conteúdo da mensagem, portanto ele processa a solicitação. Todos os outros dispositivos a ignoram.
- O Dispositivo B prepara uma resposta ARP. Essa é uma mensagem que contém seus próprios endereços IP e MAC. Uma vez pronta, a resposta é enviada ao Dispositivo A.
- O Dispositivo A atualiza seu cache ARP, adicionando o endereço MAC do Dispositivo B. Isso permite que ele comece a enviar pacotes de dados para o Dispositivo B.
Quais informações uma mensagem ARP contém?
Quando um dispositivo prepara uma mensagem ARP, ele adiciona o seguinte:
| Campos da mensagem ARP | Explicação |
| Tipo de hardware | O tipo de hardware de rede utilizado para enviar a mensagem. O ARP funciona em diversos tipos de redes, portanto os dispositivos especificam em que tipo de rede estão para saber qual deve ser o formato do endereço MAC. |
| Tipo de protocolo | O tipo de protocolo de rede utilizado para o endereço na mensagem (IPv4, por exemplo). |
| Extensão do hardware | O tamanho do endereço MAC em bytes (uma unidade de informação digital). |
| Extensão do protocolo | O tamanho do endereço IP em bytes. |
| Operação | O código de solicitação ou resposta utilizado na mensagem ARP. |
| Endereço de hardware do remetente | O endereço MAC do dispositivo que está enviando a mensagem. |
| Endereço de protocolo do remetente | O endereço IP do dispositivo que está transmitindo a mensagem. |
| Endereço de hardware de destino | O endereço MAC do dispositivo que recebe a mensagem. Em requisições, ele fica vazio porque o remetente não o conhece. |
| Endereço de protocolo de destino | O endereço IP do dispositivo que está sendo buscado na solicitação ARP |
Para que o ARP é utilizado em redes?
- Permite a comunicação entre dispositivos: associa endereços IP a endereços MAC, permitindo que dispositivos na mesma rede utilizem o endereço MAC para entregar dados (como arquivos, tráfego da web ou e-mails).
- Revela conflitos de endereço: o cache ARP pode indicar se vários dispositivos na mesma rede estão utilizando o mesmo endereço IP ou MAC. Esse conflito pode, por vezes, impedir que os dados cheguem ao dispositivo correto.
- Reduz o tráfego desnecessário: os dispositivos armazenam as traduções de IP para MAC em seus caches ARP. Isso contribui para a eficiência da LAN, pois evita que os dispositivos transmitam constantemente seus mapeamentos IP-MAC pela rede.
- Auxilia na solução de problemas de rede: administradores de TI podem monitorar o tráfego ARP para identificar falhas de conectividade. Por exemplo, é possível verificar a ausência de respostas ARP, traduções IP-MAC duplicadas ou volumes elevados de solicitações ARP.
- Contribui para o monitoramento de segurança: administradores de rede podem utilizar ferramentas para monitorar o tráfego ARP em busca de padrões suspeitos (como o spoofing de ARP) que indiquem um ataque cibernético.
Quais são os diferentes tipos de ARP?

Há quatro tipos principais de ARP:
- Proxy ARP:: envolve um proxy (geralmente um roteador) respondendo a uma solicitação ARP em nome de outro dispositivo. O proxy responde com seu próprio endereço MAC e, em seguida, encaminha quaisquer dados recebidos do remetente para o destino pretendido. Isso ajuda dispositivos em sub-redes diferentes da mesma rede a se comunicarem.
- ARP gratuito: ocorre quando um dispositivo transmite seu mapeamento IP-MAC na rede sem que isso tenha sido solicitado. Equipes de TI podem usar esse tipo de ARP para detectar conflitos de IP ou fazer com que dispositivos de rede atualizem seus caches ARP.
- ARP inverso (InARP): é o inverso do ARP — ou seja, um dispositivo conhece o endereço MAC de outro, mas não seu endereço IP. Ao transmitir a solicitação ARP, o remetente solicita apenas o IP do destinatário.
- ARP reverso (RARP): este processo mais antigo permitia que um dispositivo, especialmente estações de trabalho sem disco, utilizasse seu próprio endereço MAC para solicitar seu endereço IP. O RARP era usado principalmente nas primeiras configurações de rede, mas hoje está obsoleto, pois as redes modernas utilizam o DHCP para gerenciar a atribuição de endereços IP.
O que é spoofing de ARP?
O spoofing de ARP (também conhecido como envenenamento de ARP) é um ataque cibernético no qual um invasor envia uma resposta ARP falsa, seja respondendo a uma solicitação real ou utilizando ARP gratuito. Como resultado, os dispositivos em uma rede local associam o endereço MAC do invasor ao endereço IP de outro dispositivo. Isso faz com que os dados destinados ao dispositivo legítimo sejam enviados ao invasor.
O ataque pode ocorrer se um agente malicioso se conectar fisicamente à rede, se você utilizar uma rede Wi-Fi insegura ou se um malware assumir o controle de um dispositivo de rede.
Se o spoofing de ARP for bem-sucedido, ele pode levar a outros ataques cibernéticos, como:
- Ataques MITM: um ataque man-in-the-middle (MITM) ocorre quando um cibercriminoso intercepta com sucesso e altera ou rouba dados compartilhados entre dispositivos.
- Sequestro de sessão: envolve um invasor roubando identificadores de sessão (como cookies de sessão) para se passar por um usuário ao interagir com um serviço web. Embora a maioria dos sites HTTPS modernos mitigue esse risco, serviços sem criptografia adequada ainda podem ser afetados.
- Ataques DoS: um ataque de negação de serviço (DoS) sobrecarrega um dispositivo ou rede com tráfego para interromper seu funcionamento. Um invasor pode enviar um grande número de solicitações ARP falsas para sobrecarregar os recursos da rede local.
Como detectar o spoofing de ARP
Você pode verificar rapidamente o cache ARP do seu dispositivo seguindo estas etapas:
- Abra a interface de linha de comando do seu dispositivo usando o Prompt de Comando no Windows ou o Terminal no macOS e no Linux.

- Digite “arp -a” no aplicativo de linha de comando e pressione Enter. O Windows, o macOS e o Linux oferecem suporte ao comando arp -a, portanto ele funciona da mesma maneira em todos esses sistemas.

- Uma tabela com mapeamentos de IP-MAC deverá aparecer. Se você visualizar vários endereços IP mapeados para um único endereço MAC, isso pode indicar uma tentativa de spoofing ou envenenamento de ARP.

Redes maiores ou mais complexas frequentemente possuem múltiplos endereços IP mapeados para o mesmo endereço MAC, como servidores proxy, roteadores com múltiplos IPs ou balanceadores de carga. Essa configuração auxilia no gerenciamento mais eficiente do tráfego de rede. Nesses casos, verificar manualmente o cache ARP não é suficiente — por isso, as empresas geralmente utilizam ferramentas dedicadas de análise de rede, como o Wireshark, para detectar ataques de spoofing de ARP.
Como prevenir o spoofing de ARP
- Use entradas ARP estáticas: defina manualmente as traduções de IP para MAC para dificultar o spoofing de ARP. Dessa forma, os mapeamentos ficam fixos, impedindo que invasores os alterem facilmente. Porém, essa abordagem é inviável em redes grandes, pois as entradas precisam ser atualizadas manualmente sempre que houver alterações.
- Reduza os timeouts do cache ARP: diminua o tempo que um dispositivo mantém um mapeamento de IP para MAC para reduzir a janela de oportunidade para o envenenamento de ARP. No entanto, isso pode aumentar o tráfego ARP e reduzir a eficiência da rede.
- Segmente sua rede: divida a rede em partes menores utilizando roteadores e firewalls. Isso não impede totalmente o spoofing de ARP, mas limita sua propagação.
- Monitore o tráfego de rede: utilize ferramentas como o Wireshark para analisar o tráfego em busca de padrões suspeitos, como solicitações ou respostas ARP incomuns e alterações não autorizadas nos caches ARP.
- Restrinja o acesso às portas do switch: limite o número de dispositivos que podem se conectar às portas de cada switch de rede para ajudar a impedir que usuários não autorizados acessem sua rede.
- Ative a Inspeção Dinâmica de ARP (DAI): habilite esse recurso de segurança para se proteger contra spoofing e envenenamento de ARP. A maioria dos switches corporativos oferece esse recurso, embora geralmente seja necessário ativá-lo e configurá-lo.
- Impeça o acesso não autorizado à rede: dificulte o acesso de invasores à sua LAN habilitando a criptografia de rede, utilizando firewall e antivírus, desativado portas de rede ou serviços de rede não utilizados, exigindo credenciais de acesso robustas e mantendo o software atualizado.
Se você se preocupa com ataques de spoofing de ARP em redes Wi-Fi públicas, uma VPN pode ajudar, pois criptografa seu tráfego de internet. Mesmo que um invasor realize um ataque bem-sucedido de spoofing de ARP, ele não conseguirá ler seus dados. Embora uma VPN não impeça a injeção de malware ou outros tipos de ataques, ela protege suas informações contra a exposição em redes não seguras. A CyberGhost VPN oferece recursos de segurança de ponta e servidores de alta velocidade em 100 países, além de disponibilizar uma garantia de reembolso de 45 dias para planos de longo prazo.
ARP x DHCP x DNS
| Protocolo | Nome completo | Tipo de rede | Função | Por que é necessário |
| ARP | Protocolo de Resolução de Endereços | Redes locais (LAN) | Associa o endereço IP de um dispositivo ao seu endereço MAC | Permite que dispositivos na mesma rede enviem dados uns aos outros |
| DHCP | Protocolo de Configuração Dinâmica de Host | Redes locais (LAN) | Atribui informações de configuração a dispositivos, incluindo endereços IP e detalhes do servidor DNS | Facilita a conexão de dispositivos a uma rede sem necessidade de configuração manual |
| DNS | Sistema de Nomes de Domínio | Redes locais e de longa distância (LAN/WAN) | Traduz nomes de sites e servidores em endereços IP | Permite que dispositivos e aplicativos se conectem a sites e serviços como “netflix.com” |
ARP — Um protocolo de rede simples, porém essencial
À primeira vista, o protocolo ARP parece ter apenas uma função básica: mapear endereços IP e MAC. No entanto, essa é uma parte fundamental da infraestrutura de rede, pois permite que dispositivos se comuniquem e compartilhem dados. Infelizmente, isso também torna o ARP um alvo para cibercriminosos. Por isso, compreender o funcionamento do ARP e monitorar possíveis vulnerabilidades é essencial para manter as redes seguras.
Perguntas frequentes
O que é ARP e por que ele é importante em redes?
ARP (Protocolo de Resolução de Endereços) é um protocolo de rede que mapeia endereços IP e de hardware em uma rede local. Ele é uma parte essencial das redes, pois permite que dispositivos em uma rede local se comuniquem e compartilhem dados entre si.
Como o protocolo ARP funciona em uma rede local?
O ARP (Protocolo de Resolução de Endereços) permite que dispositivos na mesma rede local compartilhem dados. Ele faz isso vinculando endereços IP a endereços MAC (Controle de Acesso ao Meio), que são identificadores de hardware. O ARP encontra o endereço MAC de um dispositivo para enviar dados a ele.
Qual é o significado completo de ARP em redes de computadores?
ARP significa Protocolo de Resolução de Endereços e é uma peça fundamental do funcionamento das redes. Trata-se de um protocolo que traduz endereços IP em endereços MAC (Controle de Acesso ao Meio), permitindo que dispositivos na mesma rede local enviem dados uns aos outros.
Qual é a função fundamental do protocolo ARP?
A principal função do ARP (Protocolo de Resolução de Redes) é permitir que dispositivos em uma rede local se comuniquem e compartilhem dados entre si. Isso é feito associando endereços IP a endereços de hardware, também conhecidos como endereços MAC (Controle de Acesso ao Meio). O ARP também pode reduzir o tráfego de rede desnecessário e ajudar as equipes de rede a solucionar problemas de conectividade.
Como o ARP utiliza um endereço IPv4 para encontrar um endereço MAC?
O ARP (Protocolo de Resolução de Redes) ajuda dispositivos em uma rede local a associar endereços IPv4 a endereços MAC. Um dispositivo pode conhecer o endereço IP de outro, mas não seu endereço MAC. Quando precisa compartilhar dados, ele utiliza o ARP para descobrir qual endereço MAC corresponde ao endereço IPv4. Em seguida, armazena temporariamente essa informação e inicia a comunicação com o dispositivo de destino.
Qual é o papel do Protocolo de Resolução de Endereços na transmissão de dados?
O ARP permite que dispositivos na mesma rede local troquem dados. Para isso, ele associa endereços IP e MAC (Controle de Acesso ao Meio). Quando um dispositivo precisa obter o endereço MAC de outro, ele utiliza o ARP para descobri-lo. Assim que recebe o MAC, ele o armazena temporariamente e começa a enviar dados para o destino correto.
O ARP ainda é utilizado?
Sim, o ARP é amplamente utilizado em redes de computadores atualmente. É um protocolo de rede essencial, pois ajuda dispositivos na mesma rede local a descobrir os endereços de hardware uns dos outros. Isso permite que eles compartilhem dados entre si.
Deixe um comentário