⬅ Voltar ao Dashboard 1º Bimestre — Fundamentos e Modelos

📮 Endereçamento MAC e Protocolo ARP

Aula 8 — Como o endereço físico MAC identifica cada interface de rede e como o ARP faz a ponte entre o mundo IP e o mundo Ethernet — incluindo segurança e troubleshooting

🏷️ Endereço MAC em Profundidade

O endereço MAC (Media Access Control) é o identificador que opera na Camada 2 — Enlace de Dados. Enquanto o endereço IP identifica um dispositivo na rede lógica (e pode mudar), o MAC identifica a interface de rede no nível físico e é gravado pelo fabricante na memória ROM da placa.

Estrutura detalhada do endereço MAC (48 bits)
OUI (3 bytes) Bytes 1–2–3 Fabricante (IEEE) NIC (3 bytes) Bytes 4–5–6 Placa específica : Exemplo: A8:5E:45 : F3:2B:7C Bits especiais — Byte 1 Bit 0 (I/G): 0 = Unicast 1 = Multicast / Broadcast Bit 1 (U/L): 0 = Universal (IEEE) 1 = Local (VM / manual) 48 bits = 6 bytes = 12 dígitos hexadecimais Formato: AA:BB:CC:DD:EE:FF ou AA-BB-CC-DD-EE-FF

Tipos de Endereço MAC

Tipo Bit I/G Exemplo Uso
Unicast 0 (par) A8:5E:45:F3:2B:7C Identifica uma única interface. Entrega ponto a ponto
Multicast 1 (ímpar) 01:00:5E:00:00:01 Grupo de dispositivos registrados. 01:00:5E:xx = IPv4 multicast
Broadcast 1 (todos) FF:FF:FF:FF:FF:FF Todos os dispositivos da LAN recebem e processam

Alcance e impacto dos tipos de endereço MAC

Unicast — 1 receptor1 host
Multicast — grupo específicoN hosts (grupo)
Broadcast — todos os hosts da LANToda a LAN

MAC Estático, Dinâmico e MAC Spoofing

Embora o MAC seja gravado na ROM, o sistema operacional pode sobrescrevê-lo via software — técnica conhecida como MAC spoofing. Isso é legítimo em virtualização (VMs recebem MACs gerados pelo hypervisor, com bit U/L=1) e em testes, mas também é usado para contornar filtros de MAC ou realizar ataques.

Visualizar e alterar o MAC — Linux e Windows
Linux $ ip link show eth0 link/ether a8:5e:45:f3:2b:7c $ ip link set eth0 down $ ip link set eth0 address 02:AA:BB:CC:DD:EE $ ip link set eth0 up # U/L bit=1 → MAC local $ Windows (PowerShell) PS> Get-NetAdapter MacAddress: A8-5E-45-F3-2B-7C Status: Up # Alterar via # Gerenciador de Dispositivos # Propriedades da NIC # → Endereço de Rede PS>

⚠️ Filtro de MAC não é segurança: muitos roteadores e APs oferecem “filtro de endereços MAC” como recurso de segurança. Na prática, qualquer atacante pode capturar um MAC autorizado via sniffing e cloná-lo em segundos. Filtro de MAC é segurança por obscuridade — nunca deve ser a única medida.

🔍 Protocolo ARP em Profundidade

O ARP — Address Resolution Protocol (RFC 826, 1982) resolve endereços IP em endereços MAC dentro de uma mesma LAN. Sem o ARP, o IP não consegue construir o quadro Ethernet necessário para entregar o pacote localmente.

ARP Request e Reply — fluxo completo
PC-A 192.168.1.10 AA:AA:AA:AA:AA:AA PC-C 192.168.1.30 CC:CC:CC:CC:CC:CC PC-B 192.168.1.20 BB:BB:BB:BB:BB:BB ARP REQUEST (broadcast FF:FF:FF:FF:FF:FF) "Quem tem 192.168.1.20? Me diga seu MAC." ← ignora (IP não é seu) ARP REPLY (unicast AA:AA:AA:AA:AA:AA) "Sou eu. Meu MAC é BB:BB:BB:BB:BB:BB." Tabela ARP de PC-A (cache) 192.168.1.20 BB:BB:BB:BB:BB:BB TTL: ~2 minutos (dinâmico)

Tipos especiais de ARP

Gratuitous ARP Anúncio espontâneo Dispositivo anuncia seu próprio IP/MAC sem ser perguntado. Usado ao inicializar (atualizar caches) e para detectar conflitos de IP
Proxy ARP O roteador responde por outro Um roteador responde ARP Requests em nome de hosts em outra rede. Permite comunicação sem gateway configurado, mas pode causar problemas
ARP Cache Tabela em memória Armazena mapeamentos IP→MAC por ~2 minutos (Windows) ou ~1 minuto (Linux). Entradas estáticas não expiram
ARP Probe Detecção de conflito Antes de usar um IP (via DHCP ou estático), o dispositivo envia um ARP Probe para verificar se o IP já está em uso

⚠️ ARP Spoofing e Segurança

O ARP foi projetado em 1982 sem nenhum mecanismo de autenticação. Qualquer dispositivo na LAN pode enviar um ARP Reply falso, e os outros aceitam sem questionar. Isso é a base do ARP Spoofing (ou ARP Poisoning).

ARP Spoofing — ataque Man-in-the-Middle
PC-A 192.168.1.10 AA:AA:AA:AA:AA:AA Gateway 192.168.1.1 GW:GW:GW:GW:GW:GW ATACANTE 192.168.1.99 EE:EE:EE:EE:EE:EE rota normal (bloqueada) "GW está em EE:EE:EE..." FALSO "PC-A está em EE:EE:EE..." FALSO Man-in-the-Middle Intercepta, lê e repassa o tráfego senhas em claro · injeção de conteúdo · DoS

Contramedidas contra ARP Spoofing

Dynamic ARP Inspection DAI (switches gerenciáveis) O switch valida cada ARP Reply contra a tabela DHCP Snooping. Pacotes ARP inválidos são descartados
Entradas ARP estáticas Em servidores críticos Mapeamentos IP→MAC fixos que não são sobrescritos por ARPs recebidos. Impraticável em redes grandes
Segmentação com VLANs Isolar domínios de broadcast Limitar o raio do ARP Spoofing: um atacante só envenena a VLAN em que está
Criptografia (TLS/HTTPS) Proteção na camada superior Mesmo interceptado, o tráfego cifrado é inútil. HTTPS protege contra ARP Spoofing no nível de aplicação

Contexto didático: ARP Spoofing é um dos ataques mais estudados em segurança de redes por ser simples de entender e demonstrar em laboratório, além de ilustrar perfeitamente o princípio de que protocolos antigos sem autenticação são inerentemente vulneráveis.

🌐 IPv6 e o NDP: o Substituto do ARP

O IPv6 não usa ARP. Em seu lugar, o NDP — Neighbor Discovery Protocol (RFC 4861) realiza as mesmas funções (e muito mais) usando mensagens ICMPv6. O NDP opera com multicast em vez de broadcast, sendo muito mais eficiente em redes grandes.

Função IPv4 (ARP) IPv6 (NDP / ICMPv6)
Resolver IP → MAC ARP Request / Reply NS (Neighbor Solicitation) / NA (Neighbor Advertisement)
Descobrir roteador Configurado manualmente ou via DHCP RS (Router Solicitation) / RA (Router Advertisement)
Detectar conflito de IP ARP Probe (Gratuitous ARP) DAD — Duplicate Address Detection (via NS)
Autoconfigurar endereço Não (precisa de DHCP) SLAAC — Stateless Address Autoconfiguration
Meio de entrega Broadcast (FF:FF:FF:FF:FF:FF) Multicast IPv6 solicitado por nó (33:33:xx:xx:xx:xx)

Eficiência: ARP (IPv4) vs. NDP (IPv6) — hosts incomodados por resolução de endereço

ARP — Broadcast (todos os hosts da LAN recebem)100%
NDP — Multicast solicitado (apenas alvo + colisões de hash)~1%
NDP — Neighbor Solicitation e Advertisement (IPv6)
PC-A fe80::A AA:AA:AA:AA:AA:AA PC-B fe80::B BB:BB:BB:BB:BB:BB Outros hosts da rede recebem mas ignoram o multicast NS → ff02::1:ff00:B (multicast solicitado) 1. PC-A calcula ff02::1:ff+últimos 24 bits de fe80::B "Quem tem fe80::B? Me diga seu MAC." (somente PC-B recebe) NA (unicast) → AA:AA:AA:AA:AA:AA 2. PC-B responde em unicast: "Sou eu. MAC = BB:BB:BB:BB:BB:BB" Vantagem: multicast vs. broadcast Apenas 1 host processado vs. toda a LAN no ARP IPv4

🛠️ Ferramentas e Troubleshooting com ARP

O conhecimento prático do ARP é fundamental para diagnosticar problemas de conectividade na LAN. As ferramentas abaixo são usadas no dia a dia de qualquer administrador de redes.

Comandos essenciais — Windows e Linux
Windows (CMD) C:\> arp -a Exibe tabela ARP completa C:\> arp -a 192.168.1.1 Entrada específica C:\> arp -s 192.168.1.10 AA-BB-CC-DD-EE-FF Entrada estática permanente C:\> arp -d 192.168.1.10 Remove entrada específica C:\> Linux $ ip neigh show Tabela ARP/NDP moderna $ ip neigh flush dev eth0 Limpa entradas da interface $ arping -I eth0 192.168.1.10 Ping na camada 2 (ignora ICMP block) $ arping -D -I eth0 192.168.1.10 Detectar IP duplicado (ARP Probe) $

Problemas comuns diagnosticados com ARP

IP duplicado Dois hosts com o mesmo IP Sintoma: conectividade intermitente. Ferramenta: arping -D ou verificar a tabela ARP — o mesmo IP aparecerá com MACs diferentes
Gateway inating Tabela ARP do gateway incompleta Hosts com IP mas sem conectividade externa. Verificar arp -a: se o gateway aparece como “incomplete” — sem resposta ARP
Cache ARP envenenado MAC errado para um IP Sintoma: tráfego some ou vai para lugar errado. Solução imediata: arp -d <ip> para forçar novo ARP Request
Tabela ARP cheia Em roteadores e switches Redes muito grandes podem esgotar a tabela ARP do roteador. Solução: segmentação com VLANs para reduzir o tamanho dos domínios de broadcast
Tabela ARP — saída e diagnóstico
$ arp -a gateway (192.168.1.1) at a8:5e:45:f3:2b:7c [ether] on eth0 ✓ servidor (192.168.1.50) at <incomplete> ← PROBLEMA! impressora (192.168.1.100) at b4:2e:99:1a:c7:f0 [ether] on eth0 ✓ $ "incomplete" = sem resposta • Host desligado • Cabo desconectado • IP incorreto • Firewall bloqueando ARP Diagnóstico rápido: 1. ping 192.168.1.50 2. arping -I eth0 192.168.1.50 3. verificar cabo/switch 4. arp -d 192.168.1.50 (limpar)

🧩 O ARP no Contexto da Pilha TCP/IP

Entender onde o ARP se encaixa na pilha TCP/IP é fundamental para compreender por que ele é necessário e quais são seus limites.

Quando o ARP é acionado — exemplo completo
PC-A 192.168.1.10 /24 Gateway 192.168.1.1 Roteador Servidor 200.10.5.3 outra rede ① ARP Request → gateway MAC-GW MAC-PC-A 0x0800 Pacote IP → 200.10.5.3 FCS Quadro Ethernet — salto 1: PC-A → Gateway ② MAC muda a cada salto MAC muda a cada salto · IP permanece igual do início ao fim Salto 1: MAC-dst = gateway | IP-dst = 200.10.5.3 Salto 2: MAC-dst = servidor | IP-dst = 200.10.5.3 (mesmo!) O roteador repete o processo ARP para cada próximo salto ARP é local — opera apenas dentro de cada segmento de rede

⚠️ Ponto crítico: o endereço IP de destino nunca muda ao longo do caminho — ele identifica o destino final. O endereço MAC de destino muda a cada salto — ele sempre aponta para o próximo dispositivo na rede local imediata. O ARP é executado em cada segmento de rede separadamente.

❓ Verifique seu Conhecimento

Ao enviar um ARP Request, qual é o endereço MAC de destino usado no quadro Ethernet?

AO MAC do gateway padrão da rede
BO MAC do dispositivo que se deseja descobrir (mesmo sem conhecê-lo)
CFF:FF:FF:FF:FF:FF (broadcast Ethernet)
D00:00:00:00:00:00 (endereço nulo)
✓ O ARP Request é enviado em broadcast Ethernet (FF:FF:FF:FF:FF:FF) porque o MAC de destino ainda é desconhecido — esse é exatamente o motivo do ARP. Todos os dispositivos na LAN recebem o Request, mas somente o dono do IP responde com um ARP Reply unicast.

PC-A acessa um servidor em outra rede através de um roteador. Em relação ao quadro Ethernet enviado por PC-A:

AO MAC de destino é o MAC do servidor final e o IP de destino é o IP do roteador
BO MAC de destino é o MAC do roteador (gateway) e o IP de destino é o IP do servidor final
CTanto o MAC quanto o IP de destino são os do servidor final
DTanto o MAC quanto o IP de destino são os do roteador
✓ O endereço IP de destino é sempre o do servidor final (não muda ao longo do caminho). O MAC de destino é o do próximo salto — neste caso o roteador/gateway — e muda a cada salto. PC-A descobre o MAC do roteador via ARP antes de enviar o quadro.

Um administrador executa arp -a e vê a entrada: 192.168.1.20 <incomplete>. O que isso indica?

AO dispositivo 192.168.1.20 está realizando um ataque ARP Spoofing
BA entrada ARP expirou e será renovada automaticamente em 30 segundos
CO endereço IP 192.168.1.20 está duplicado na rede
DUm ARP Request foi enviado para 192.168.1.20 mas nenhuma resposta foi recebida, indicando que o host pode estar offline, com problema de conexão ou com ICMP/ARP bloqueado
✓ “incomplete” na tabela ARP significa que houve uma tentativa de descobrir o MAC (ARP Request enviado), mas nenhum ARP Reply chegou. As causas mais comuns são: host desligado, cabo desconectado, IP incorreto ou firewall bloqueando respostas ARP.

Qual a principal diferença entre o ARP (IPv4) e o NDP (IPv6) na forma como descobrem o endereço de camada 2 de um vizinho?

AO ARP usa broadcast Ethernet; o NDP usa multicast IPv6 solicitado por nó, atingindo apenas o host alvo
BO ARP usa multicast; o NDP usa broadcast, por isso é menos eficiente
CO NDP usa o mesmo mecanismo de broadcast do ARP, mas em IPv6
DO NDP requer um servidor DHCP para funcionar, enquanto o ARP é autônomo
✓ O ARP envia o Request para FF:FF:FF:FF:FF:FF (todos os hosts da LAN recebem). O NDP envia um Neighbor Solicitation para o endereço multicast solicitado por nó (ff02::1:ffxx:xxxx), que é um multicast derivado do IPv6 do alvo — somente o host alvo (e alguns outros com hash semelhante) recebe a mensagem, reduzindo drasticamente o tráfego desnecessário.

📝 Atividade Prática

Investigar a tabela ARP, simular resolução de endereços e identificar vulnerabilidades.

1
Explorar a tabela ARP da máquina local
No seu computador ou no laboratório, execute arp -a (Windows/Linux) ou ip neigh show (Linux). (a) Liste todos os dispositivos na tabela e identifique: IP, MAC e tipo (dinâmico ou estático); (b) Pesquise o OUI dos MACs encontrados em um banco de dados online (ex: macvendors.com) e identifique o fabricante; (c) Há alguma entrada como “incomplete”? O que isso significa?
2
Rastrear o fluxo ARP passo a passo
Para o cenário: PC-A (192.168.0.5 / MAC AA:BB:CC:11:22:33) quer se comunicar com PC-B (192.168.0.20 / MAC DD:EE:FF:44:55:66), mas a tabela ARP de PC-A está vazia. Descreva em detalhes: (a) o conteúdo completo do ARP Request enviado (MACs, IPs, tipo); (b) quem recebe esse pacote e por quê; (c) o conteúdo do ARP Reply; (d) o que muda na tabela ARP de PC-A após a troca; (e) se PC-B aprendeu algo sobre PC-A nesse processo.
3
Analisar o caminho IP vs. MAC em roteamento
PC-A (192.168.1.5) acessa um servidor em 10.0.0.100 através de um roteador (gateway 192.168.1.1). Complete a tabela abaixo para cada trecho do caminho:

Trecho 1: PC-A → Roteador — MAC destino do quadro: ?, IP destino do pacote: ?
Trecho 2: Roteador → Servidor — MAC destino do quadro: ?, IP destino do pacote: ?

Por que o endereço MAC muda mas o IP não? Qual protocolo o roteador usa para descobrir o MAC do servidor?
4
Avaliar vulnerabilidades ARP e contramedidas
Um atacante em 192.168.1.50 envia ARP Replies falsos para todos os hosts da rede alegando ser o gateway (192.168.1.1). (a) Quais dados o atacante consegue capturar? (b) Como o Dynamic ARP Inspection (DAI) bloquearia esse ataque? (c) Por que o uso de HTTPS dificulta a exploração mesmo que o ARP Spoofing seja bem-sucedido? (d) Proponha duas configurações de rede que reduziriam o impacto desse ataque.
5
👥 Trabalho em grupo — Julgamento do protocolo ARP
(Aprendizagem Baseada em Equipes — grupos de 3–4 alunos) Simule um “tribunal de protocolos”: o ARP está sendo julgado por ser inseguro e desatualizado. Um grupo é a defesa (argumente por que o ARP ainda é necessário e quais contramedidas o tornam aceitável); outro grupo é a acusação (liste falhas, ataques e por que o IPv6/NDP é superior); um terceiro grupo é o júri (avalia os argumentos e dá o veredito). Ao final: o ARP deveria ser substituído imediatamente? O que impede a migração total para IPv6?
6
🧩 Computação desplugada — Simulação de ARP na turma
(Metodologia ativa — sem computador) Cada aluno recebe um cartão com IP e MAC (inventados). A “rede” é a sala de aula. Um aluno é o roteador; os demais são hosts. Roteiro: (a) PC-A quer enviar para PC-B — PC-A fica de costas (sem ver o MAC de B) e grita o ARP Request para todos; (b) PC-B responde em voz baixa (unicast); (c) PC-A anota na “tabela ARP” (folha de papel); (d) o professor anuncia “ataque ARP Spoofing”: o atacante grita uma resposta falsa antes de PC-B — o que acontece? Discutam: como a turma poderia “verificar” se a resposta ARP é legítima? A atividade é adaptável: use cartões escritos em vez de voz alta para alunos com deficiência auditiva.
📌 Para refletir: o ARP é um exemplo perfeito de como a internet foi construída sobre confiança: em 1982, as redes eram pequenas, fechadas e os usuários eram pesquisadores. Hoje, esse protocolo sem autenticação roda em bilhões de dispositivos. Conhecer o ARP não é apenas entender como a rede funciona — é entender por que a segurança de redes é uma disciplina tão complexa e essencial.
⬅ Anterior: Redes sem Fio (IEEE 802.11) Próxima: Endereçamento IPv4 ➡