Thiago Teixeira
EN | PT

arp

Inspeciona o cache ARP local para mapear IPs em endereços MAC.

Reconhecimento e Monitoramento de Rede Nativo do SO CLI Praticado em Lab Windows Linux macOS

Cyber Kill Chain e Ciclo do Defensor

Atacante — Kill Chain
1 Reconhecimento
2 Armamento
3 Entrega
4 Exploração
5 Instalação
6 Comando e Controle
7 Ações sobre Objetivos
Defensor — Ciclo de RI
8 Detecção / Monitoramento
9 Contenção e Erradicação
10 Forense Pós-Incidente

Descrição

arp mostra o cache ARP local — o mapeamento IP↔MAC que o host acredita ser verdadeiro no segmento L2.

Por que importa para analistas:

  • ARP poisoning / spoofing reescreve o cache de forma que o tráfego ao gateway é silenciosamente redirecionado ao atacante (MitM clássico).
  • Comparar tabelas ARP entre hosts revela MACs impostores.
  • Várias ferramentas (NAC, monitores de VLAN) consomem dados ARP para rastrear presença de host.

Casos de uso

  • Detectar MitM por ARP-spoofing em LAN
  • Validar MAC do gateway durante triagem
  • Inventariar L2 de uma sub-rede rapidamente

Exemplo

arp -a
ip neigh show