ARP: como dispositivos descobrem MAC na rede local
ARP (Address Resolution Protocol): como funciona o request broadcast e reply unicast, cache ARP, gratuitous ARP, proxy ARP, ARP spoofing e comandos arp -a no Windows e Linux.
ARP (Address Resolution Protocol) e o protocolo que responde a pergunta: "eu sei o IP do destino, mas qual e o endereço MAC dele na minha rede local?" Sem o ARP, o Ethernet não consegue montar o quadro. Todo dispositivo na sua rede usa ARP dezenas de vezes por minuto. Tanenbaum descreve o mecanismo como "mapeamento de endereço IP em endereço Ethernet por broadcast" e explica por que o cache ARP existe para evitar broadcast excessivo. Este artigo detalha o funcionamento, o cache, variantes como gratuitous ARP e proxy ARP, e a vulnerabilidade conhecida como ARP spoofing.
Neste artigo
- Por que o ARP existe: o problema que ele resolve
- Como o ARP funciona: request e reply
- Cache ARP: por que armazenar respostas
- Gratuitous ARP e Proxy ARP
- ARP spoofing: ataque man-in-the-middle na rede local
- Comandos para ver e manipular a tabela ARP
- ARP no IPv6: NDP substitui o ARP
- Redes brasileiras: ARP no contexto de CGNAT e provedores
- Perguntas frequentes
Por que o ARP existe: o problema que ele resolve
No modelo TCP/IP, o IP opera na camada 3 (lógica) e o Ethernet opera na camada 2 (física local). Um computador que quer enviar um pacote para o endereço IP 192.168.1.10 precisa de duas coisas: o endereço IP de destino (que ele já tem) e o endereço MAC do dispositivo nessa rede local (que ele precisa descobrir).
Endereços MAC e IP são independentes. Um MAC e gravado no hardware da placa de rede pelo fabricante (48 bits, notacao hexadecimal como 00:1A:2B:3C:4D:5E). Um IP e atribuido logicamente pelo DHCP ou configuração manual. Nenhum dos dois contém informação sobre o outro. O ARP preenche essa lacuna.
"O protocolo ARP (Address Resolution Protocol) cuida do mapeamento de um endereço IP em um endereço Ethernet. Quando uma maquina quer enviar uma mensagem, ela verifica a tabela de mapeamento. Se não encontrar nada, usa o broadcast ff:ff:ff:ff:ff:ff para perguntar 'quem tem o endereço IP X?'."
Andrew S. Tanenbaum, Redes de computadores, 4a edição, p. 347 (Campus, 2004)
Como o ARP funciona: request e reply
O protocolo ARP opera em dois passos: ARP Request (broadcast) e ARP Reply (unicast). O processo completo dura milissegundos.
- ARP Request (broadcast): PC A (192.168.1.5) envia quadro Ethernet com MAC destino ff:ff:ff:ff:ff:ff perguntando "Quem tem 192.168.1.10?".
- Switch encaminha broadcast: o switch L2 entrega o quadro para todas as portas do segmento, alcancando PC B e PC C.
- ARP Reply (unicast): apenas PC B (dono do IP 192.168.1.10) responde diretamente para PC A com seu MAC DD:EE:FF:44:55:66. PC C ignora.
- Cache ARP: PC A armazena o par IP-MAC na tabela ARP local com TTL (tipicamente 60-1200 segundos).
- Trafego subsequente: PC A monta os quadros Ethernet com o MAC de destino correto e envia os pacotes IP sem novo ARP ate o cache expirar.
- PC A quer enviar um pacote para 192.168.1.10 mas não tem o MAC correspondente na tabela ARP.
- PC A envia um quadro Ethernet com MAC destino ff:ff:ff:ff:ff:ff (broadcast) contendo: "Eu sou AA:BB:CC:11:22:33 com IP 192.168.1.5. Quem tem 192.168.1.10? Me responda."
- O switch entrega o broadcast para todos os dispositivos do segmento.
- PC B (IP 192.168.1.10) reconhece que a pergunta e para ele e responde com ARP Reply unicast diretamente para AA:BB:CC:11:22:33: "Eu tenho 192.168.1.10. Meu MAC e DD:EE:FF:44:55:66."
- PC A armazena o mapeamento IP-MAC no cache ARP e monta o quadro Ethernet para enviar o pacote.
O formato do pacote ARP define: hardware type (1 para Ethernet), protocol type (0x0800 para IPv4), hardware address length (6 bytes para MAC), protocol address length (4 bytes para IPv4), operation (1 = request, 2 = reply), e os quatro campos de endereços (MAC origem, IP origem, MAC destino, IP destino).
Cache ARP: por que armazenar respostas
Sem cache, cada pacote IP exigiria um ARP Request. Numa rede com 100 dispositivos ativos, isso seria dezenas de milhares de broadcasts por segundo. O cache ARP guarda mapeamentos IP-MAC com um tempo de vida (TTL) tipicamente de 1 a 4 minutos, dependendo do sistema operacional.
"Para evitar a necessidade de fazer uma solicitação ARP toda vez que um pacote for enviado, as maquinas geralmente armazenam os mapeamentos em cache. Normalmente o tempo de vida de uma entrada na cache e de alguns minutos."
Andrew S. Tanenbaum, Redes de computadores, 4a edição, p. 348 (Campus, 2004)
| Sistema operacional | TTL do cache ARP (entrada dinâmica) | Como verificar |
|---|---|---|
| Linux (kernel 2.6+) | 60 segundos (base) com garbage collect após 300s sem uso | ip neigh show ou arp -n |
| Windows 10/11 | 15 a 45 segundos (reachable), até 10 minutos (stale) | arp -a no CMD |
| macOS | 20 minutos (inativo), refresh ao usar | arp -a no Terminal |
| Cisco IOS | 4 horas (240 minutos) por padrão | show arp no IOS |
| Roteador domestico | Varia por firmware: 30s a 600s | Interface web do roteador |
Gratuitous ARP e Proxy ARP
Duas variantes do ARP com usos especificos merecem atenção.
Gratuitous ARP e um ARP Request onde o emissor pergunta sobre o seu próprio IP. Parece absurdo, mas tem duas funções: (1) detectar conflito de IP na rede: se outro dispositivo responder, ha duplicidade; (2) atualizar o cache ARP de outros dispositivos quando o MAC muda, por exemplo após troca de placa de rede ou failover em cluster. Servidores com alta disponibilidade (HA) enviam gratuitous ARP quando o IP flutua entre nós do cluster.
Proxy ARP e quando um roteador responde a ARP Requests em nome de dispositivos em outra rede. O roteador "finge" ter o MAC do destino para atrair o tráfego, que ele então encaminha corretamente. Foi amplamente usado em redes legadas e em conexões xDSL. A maioria dos equipamentos modernos tem proxy ARP desabilitado por padrão por questoes de seguranca.
ARP spoofing: ataque man-in-the-middle na rede local
O ARP tem uma fraqueza critica: não ha autenticação. Qualquer dispositivo pode enviar um ARP Reply não solicitado alegando ser qualquer IP. Essa falha e a base do ARP spoofing (também chamado ARP poisoning).
No ataque: um invasor envia ARP Replies falsos para o PC A dizendo "192.168.1.1 (o gateway) tem MAC 00:AA:BB:CC:DD:EE (MAC do atacante)" e ao gateway dizendo "192.168.1.5 (PC A) tem MAC 00:AA:BB:CC:DD:EE". Resultado: todo tráfego entre PC A e o gateway passa pelo atacante. Ele ve, modifica ou injeta pacotes. A conexão continua funcionando do ponto de vista do usuário.
| Aspecto | Detalhes |
|---|---|
| Ferramenta de ataque comum | arpspoof (pacote dsniff), Ettercap, Bettercap |
| Risco principal | Interceptacao de credenciais HTTP, cookies de sessão, VOIP |
| Defesa no switch (Cisco) | Dynamic ARP Inspection (DAI): válida ARP contra tabela DHCP snooping |
| Defesa no endpoint | ARP estático (entrada permanente na tabela ARP para o gateway) |
| Defesa na aplicação | HTTPS com HSTS: mesmo interceptado, o tráfego e criptografado |
| Deteccao | Wireshark: filtro arp.duplicate-address-detected alerta duplicidade |
Comandos para ver e manipular a tabela ARP
| Sistema | Comando | O que faz |
|---|---|---|
| Windows | arp -a |
Exibe tabela ARP completa (IP, MAC, tipo) |
| Windows | arp -d 192.168.1.1 |
Remove entrada especifica do cache |
| Windows | arp -s 192.168.1.1 00-AA-BB-CC-DD-EE |
Adiciona entrada estática permanente |
| Linux | ip neigh show |
Exibe tabela ARP/NDP (IPv4 e IPv6) |
| Linux | ip neigh flush all |
Limpa cache ARP completamente |
| Cisco IOS | show arp |
Exibe tabela ARP do roteador |
| Cisco IOS | clear arp-cache |
Limpa cache ARP do roteador |
ARP no IPv6: NDP substitui o ARP
O IPv6 não usa ARP. Em vez disso, usa o NDP (Neighbor Discovery Protocol), definido pela RFC 4861. O NDP usa mensagens ICMPv6: Neighbor Solicitation (equivalente ao ARP Request) e Neighbor Advertisement (equivalente ao ARP Reply). A grande diferença: o NDP usa multicast solicited-node em vez de broadcast, o que reduz o tráfego em redes grandes.
Para descobrir o endereço MAC de um vizinho IPv6, o dispositivo envia um Neighbor Solicitation para o grupo multicast ff02::1:ff seguido dos últimos 24 bits do endereço IPv6 alvo. So o dispositivo com aquele endereço responde. Isso e muito mais eficiente que um broadcast para toda a rede.
Redes brasileiras: ARP no contexto de CGNAT e provedores
No Brasil, a maioria dos provedores residenciais usa CGNAT (RFC 6598, faixa 100.64.0.0/10). Dentro do equipamento CPE do assinante (roteador domestico), o ARP funciona normalmente na rede local. Mas o IP WAN do roteador (na faixa 100.64/10) e um IP privado do provedor, não o IP público real.
Isso significa que, numa rede de provedor com CGNAT, ha dois níveis de ARP: o ARP entre os dispositivos do assinante na rede local (192.168.x.x) e o ARP entre o CPE e o equipamento do provedor (na faixa 100.64/10). O IP público real fica na borda do provedor, onde o CGNAT faz a tradução.
ARP no contexto atual: limites e evolução
O ARP tem 42 anos e e um dos protocolos mais antigos ainda em uso ativo na internet. Sua longevidade e notavel dado que foi projetado para redes confiadas de dezenas de hosts. As principais limitacoes que levam pesquisadores a questionar sua adequacao para redes modernas:
Escalabilidade em data centers: Em data centers modernos com dezenas de milhares de servidores no mesmo segmento L2 (para facilitar migracao de VMs), o volume de broadcasts ARP pode saturar CPUs de switches e hosts. O VXLAN (Virtual eXtensible LAN, RFC 7348) e o BGP EVPN (RFC 7432) surgiram parcialmente para resolver isso, distribuindo informações de endereçamento de forma controlada sem broadcasts massivos.
Ausencia de autenticação: Como documentado na secao de seguranca, a falta de autenticação torna o ARP vulneravel a ataques de envenenamento. O SEND (SEcure Neighbor Discovery, RFC 3971) resolveu isso no IPv6/NDP, mas não ha equivalente amplamente deployado para o ARP do IPv4.
Na prática, o ARP continuara em uso enquanto o IPv4 for relevante. Com a adocao crescente do IPv6, o NDP gradualmente assumira as funções do ARP em redes nativas IPv6. Em redes dual-stack (IPv4 e IPv6 simultaneous), ARP e NDP coexistem, cada um servindo seu protocolo de rede correspondente.
O mecanismo ARP passo a passo: do broadcast ao cache
Entender o ARP em profundidade requer examinar o formato do próprio pacote ARP. Um pacote ARP ocupa 28 bytes e contém os seguintes campos: Hardware Type (2 bytes, valor 1 para Ethernet), Protocol Type (2 bytes, valor 0x0800 para IPv4), Hardware Length (1 byte, valor 6 para MAC de 6 bytes), Protocol Length (1 byte, valor 4 para IPv4 de 4 bytes), Operation (2 bytes, 1 para Request e 2 para Reply), Sender Hardware Address (6 bytes: MAC do remetente), Sender Protocol Address (4 bytes: IP do remetente), Target Hardware Address (6 bytes: FF:FF:FF:FF:FF:FF no Request, MAC real no Reply), Target Protocol Address (4 bytes: IP do alvo).
O encapsulamento Ethernet envolve o ARP: o quadro Ethernet tem EtherType 0x0806 (vs 0x0800 para IPv4 e 0x86DD para IPv6), sinalizando para a camada de enlace que o payload e ARP. O switch encaminha o quadro ARP Request para todas as portas da VLAN (broadcast) porque o MAC de destino e FF:FF:FF:FF:FF:FF. O dispositivo que tem o IP solicitado responde com um ARP Reply unicast diretamente para o MAC do solicitante.
| Campo | Tamanho | ARP Request | ARP Reply |
|---|---|---|---|
| Hardware Type | 2 bytes | 0x0001 (Ethernet) | 0x0001 (Ethernet) |
| Protocol Type | 2 bytes | 0x0800 (IPv4) | 0x0800 (IPv4) |
| Operation | 2 bytes | 0x0001 (Request) | 0x0002 (Reply) |
| Target Hardware Address | 6 bytes | FF:FF:FF:FF:FF:FF (broadcast) | MAC real do solicitante |
| Sender Hardware Address | 6 bytes | MAC real do remetente | MAC real do respondente |
ARP e seguranca de rede: ataques e defesas detalhados
O ARP foi projetado em 1982 para redes confiadas, quando a ideia de um atacante interno não era prioritaria. O resultado e que o protocolo não tem autenticação: qualquer dispositivo pode enviar um ARP Reply afirmando ser qualquer IP, sem nenhuma verificação. Isso abre caminho para uma classe de ataques conhecida como ARP poisoning ou ARP spoofing.
No ARP spoofing, o atacante envia ARP Replies não solicitados (gratuitous ARPs maliciosos) para todos os dispositivos do segmento, afirmando que seu MAC corresponde ao IP do gateway. O resultado: o tráfego destinado ao gateway passa pelo atacante antes de ser encaminhado. Esse e o ataque de man-in-the-middle (MitM) de camada 2.
A ferramenta mais usada para demonstrar ARP spoofing em laboratorios de seguranca e o arpspoof (parte do pacote dsniff), disponível em Linux. Em CTF (Capture the Flag) e em cursos de seguranca ofensiva como o OSCP, o ARP spoofing e exercicio básico de rede interna. Para uso em ambientes de producao, o ARP spoofing e ilegal sem autorização explicita.
| Ataque | Descricao | Defesa no switch | Defesa no host |
|---|---|---|---|
| ARP Spoofing / Poisoning | Envia ARP Reply falso para redirecionar tráfego (MitM) | Dynamic ARP Inspection (DAI) + DHCP Snooping | ARP estático para gateway, XArp (Windows), arpwatch (Linux) |
| Gratuitous ARP malicioso | Anuncia MAC falso para IP real sem ser solicitado | DAI com rate limiting | Monitoramento de cache ARP |
| ARP Cache Poisoning persistente | Reenvia ARPs falsos continuamente para manter o cache envenenado | Port security + timeout agressivo no DAI | VPN ou HTTPS com HSTS |
| ARP Flood | Inunda o segmento com ARP Requests para sobrecarregar switches/hosts | Rate limiting de ARP por porta | Firewall de host bloqueando ARP excessivo |
O Dynamic ARP Inspection (DAI) e o controle mais efetivo em switches gerenciaveis Cisco e similares. O DAI válida cada pacote ARP contra a tabela de DHCP Snooping binding (que associa IP, MAC, porta e VLAN concedidos pelo DHCP). ARPs que não batem com essa tabela são descartados. Para IPs estáticos, e necessario configurar ARP ACLs manualmente.
ARP na pilha TCP/IP: posição e interdependencias
O ARP existe porque dois sistemas de endereçamento coexistem na rede local: endereços IP (lógicos, definidos por software, gerenciados pelo administrador de rede) e endereços MAC (físicos, gravados no hardware da placa de rede pelo fabricante). O IP e routable: pode chegar a qualquer lugar na internet através de roteadores. O MAC e local: funciona apenas dentro do mesmo segmento Ethernet (ou VLAN). Para que o IP possa usar o Ethernet como transporte, ele precisa de um mecanismo para descobrir o MAC correspondente a um IP na mesma rede. Esse mecanismo e o ARP.
Sem o ARP, o IP só poderia funcionar se os administradores configurassem manualmente a relação IP-MAC em cada dispositivo. Em redes com centenas ou milhares de dispositivos, isso seria impossível de manter. O ARP automatiza esse processo: quando um dispositivo precisa se comunicar com um IP local e não sabe o MAC correspondente, envia um ARP Request em broadcast. O processo e transparente para as aplicações acima: o TCP/IP resolve o ARP antes de tentar transmitir qualquer segmento.
A escalabilidade do ARP tem limites. Em redes muito grandes (centenas de dispositivos no mesmo segmento), o volume de broadcasts ARP pode consumir banda e processamento dos dispositivos. Por isso, redes corporativas modernas segmentam com VLANs (cada VLAN tem seu próprio dominio de broadcast) e usam switches gerenciaveis com Dynamic ARP Inspection para controlar o tráfego ARP.
Comandos ARP detalhados por sistema operacional
O cache ARP e uma das primeiras coisas a verificar quando ha problemas de conectividade local. Cada sistema operacional tem seus próprios comandos com opcoes distintas.
Windows
arp -a exibe todo o cache ARP em todas as interfaces. Para uma interface especifica: arp -a -N 192.168.1.100. Para adicionar entrada estática: arp -s 192.168.1.1 00-11-22-33-44-55. Para remover uma entrada especifica: arp -d 192.168.1.1. Para limpar todo o cache ARP: arp -d *. Nota: no Windows 10/11, entradas estáticas podem exigir privilegios de administrador.
Linux
O comando legado arp -n exibe o cache sem resolver nomes. O comando moderno preferido e ip neigh show (parte do pacote iproute2): exibe entradas com estado (REACHABLE, STALE, DELAY, PROBE, FAILED, PERMANENT). Para adicionar entrada estática: ip neigh add 192.168.1.1 lladdr 00:11:22:33:44:55 dev eth0 nud permanent. Para remover: ip neigh del 192.168.1.1 dev eth0. Para limpar o cache de uma interface: ip neigh flush dev eth0.
macOS
arp -a funciona de forma similar ao Linux. Para adicionar entrada estática: sudo arp -s 192.168.1.1 00:11:22:33:44:55. Para remover: sudo arp -d 192.168.1.1. O macOS usa um daemon de rede (configd) que gerencia o cache ARP automaticamente; reiniciar o serviço de rede limpa o cache ARP.
Cisco IOS
show ip arp exibe a tabela ARP do roteador. show ip arp 192.168.1.1 filtra por IP. clear ip arp limpa todo o cache. arp 192.168.1.1 0011.2233.4455 arpa adiciona entrada estática. show ip arp interface GigabitEthernet0/0 exibe entradas para uma interface especifica.
ARP em ambientes com VLANs
Em redes segmentadas com VLANs (Virtual Local Area Networks), o comportamento do ARP muda de forma importante: o broadcast ARP fica confinado dentro da VLAN. Um dispositivo na VLAN 10 não consegue resolver o MAC de um dispositivo na VLAN 20 via ARP direto. Para comunicar entre VLANs, o tráfego precisa passar por um roteador (ou switch Layer 3) que conecta as duas VLANs.
Isso tem implicacoes de seguranca: VLANs isolam dominios de broadcast e, consequentemente, limitam o alcance de ataques ARP. Um invasor na VLAN de convidados de um escritorio brasileiro não consegue fazer ARP spoofing na VLAN corporativa, pois os broadcasts de ambas não se comunicam. Essa e uma das justificativas para segregar redes de IoT, convidados e corporativa em VLANs separadas, prática padrão em redes corporativas gerenciadas no Brasil.
ARP vs NDP: a transicao para IPv6
Com a adocao crescente do IPv6 no Brasil (o NIC.br reporta 37% dos usuários brasileiros com acesso a IPv6 em 2024), o ARP e progressivamente complementado pelo NDP (Neighbor Discovery Protocol, RFC 4861), que realiza as mesmas funções mas de forma mais eficiente e segura.
O NDP substitui o ARP usando mensagens ICMPv6 (tipo 135 Neighbor Solicitation e tipo 136 Neighbor Advertisement). A principal diferença operacional: o NDP usa multicast Solicited-Node em vez de broadcast. Cada dispositivo IPv6 faz parte de um grupo multicast derivado dos últimos 24 bits do seu endereço IPv6. Isso significa que uma Solicitation só e entregue a uma fracao minima dos dispositivos da rede (aqueles com os mesmos 24 bits finais), em vez de todos os dispositivos no segmento como faz o ARP.
| Caracteristica | ARP (IPv4) | NDP (IPv6) |
|---|---|---|
| RFC | RFC 826 (1982) | RFC 4861 (2007) |
| Encapsulamento | Diretamente no Ethernet (EtherType 0x0806) | ICMPv6 dentro de IPv6 |
| Metodo de descoberta | Broadcast (ff:ff:ff:ff:ff:ff) | Multicast Solicited-Node |
| Deteccao de duplicatas | Gratuitous ARP (opcional) | DAD (Duplicate Address Detection, obrigatorio) |
| Descoberta de roteador | DHCP ou configuração manual | Router Advertisement (RA) - automático |
| Seguranca | Sem autenticação (vulneravel a spoofing) | SEcure Neighbor Discovery (SEND, RFC 3971) opcional |
Diagnosticando problemas com ARP na prática
Problemas de ARP aparecem de formas especificas. Os mais comuns em ambientes de producao brasileiros:
- IP duplicado: Dois dispositivos com o mesmo IP geram conflito ARP. Sintoma: ping intermitente, conectividade que cai e volta. Diagnostico:
arp -ae verificar se o mesmo IP aparece com MACs diferentes em momentos diferentes. Solucao: identificar o dispositivo duplicado via busca do MAC na tabela do switch (show mac address-table address XXXX). - Cache ARP desatualizado: Dispositivo foi substituido (novo NIC, novo MAC), mas outros ainda tem o MAC antigo em cache. Sintoma: não consegue pingar o dispositivo substituido por alguns minutos. Solucao: limpar o cache ARP manualmente (
arp -d IPou aguardar o timeout). - Gateway unreachable por ARP falho: O dispositivo não consegue resolver o MAC do gateway. Sintoma: ping ao gateway falha, mas ping a outros IPs do mesmo segmento funciona. Diagnostico:
arp -n(Linux) ouarp -a(Windows) e verificar se o IP do gateway tem entrada válida. Solucao: adicionar entrada ARP estática para o gateway. - ARP Timeout em links de alta latência: Em VPNs ou links com alta latência, o timeout de ARP Request pode expirar antes do Reply chegar. Solucao: aumentar o timeout de ARP (
arp timeout segundosem interfaces Cisco IOS) ou usar entradas estáticas.
Perguntas frequentes sobre ARP
O que e o protocolo ARP em redes de computadores?
ARP (Address Resolution Protocol) e o protocolo definido pela RFC 826 (1982) que mapeia endereços IP (camada 3) para endereços MAC (camada 2) em redes locais Ethernet. Quando um dispositivo precisa enviar um pacote e não conhece o MAC do destino, usa ARP para descobrir via broadcast.
Como ver a tabela ARP no Windows?
No Prompt de Comando do Windows, execute arp -a. O resultado mostra o endereço IP, o endereço MAC físico correspondente e o tipo (dinâmico ou estático) para cada entrada do cache. Entradas dinamicas são adicionadas automaticamente pelo protocolo; estáticas foram configuradas manualmente.
ARP funciona em redes IPv6?
Não. O IPv6 usa o NDP (Neighbor Discovery Protocol, RFC 4861) no lugar do ARP. O NDP usa mensagens ICMPv6 (Neighbor Solicitation e Neighbor Advertisement) e multicast em vez de broadcast, o que e mais eficiente em redes grandes. O comando ip neigh show no Linux exibe tanto entradas ARP (IPv4) quanto NDP (IPv6).
O que e ARP spoofing e como se proteger?
ARP spoofing e um ataque onde um invasor envia ARP Replies falsos para envenenar o cache ARP de outros dispositivos, desviando tráfego pelo computador do atacante (man-in-the-middle). Para se proteger: use HTTPS com HSTS em todas as conexões sensiveis, habilite Dynamic ARP Inspection (DAI) em switches corporativos, e ative VPN em redes públicas.
O que e gratuitous ARP?
Gratuitous ARP (ARP gratuito) e um ARP Request onde o remetente pergunta pelo seu próprio endereço IP. Não espera resposta, mas serve para dois fins: detectar conflito de IP na rede (se alguem responder, ha duplicidade) e atualizar entradas de cache ARP em outros dispositivos quando o MAC muda. Clusters de alta disponibilidade usam gratuitous ARP ao migrar IPs entre nós.
Por que o ARP usa broadcast e isso e um problema?
O ARP usa broadcast Ethernet (ff:ff:ff:ff:ff:ff) porque não ha como saber com antecedencia qual dispositivo tem o IP alvo. O problema: broadcasts são entregues a todos os dispositivos do segmento de rede, e em redes grandes com muitos dispositivos, o volume de ARP Requests pode ser significativo. O cache ARP minimiza broadcasts repetidos. VLANs segmentam o dominio de broadcast para controlar o problema.
Qual RFC define o ARP?
O ARP e definido pela RFC 826, publicada em novembro de 1982 por David C. Plummer. E um dos documentos RFC mais antigos ainda em uso ativo. Não houve uma RFC de substituição para IPv4: o ARP permanece o mecanismo padrão para resolucao de endereços em redes Ethernet IPv4.
ARP funciona em redes Wi-Fi?
Sim. O Wi-Fi 802.11 opera na camada 2, assim como o Ethernet. Dispositivos numa rede Wi-Fi usam ARP exatamente como numa rede cabeada. O roteador Wi-Fi responde a ARP Requests de dispositivos conectados sem fio da mesma forma. A diferença e que o meio físico e radio em vez de cabo, mas o protocolo ARP em si não muda.
O que e Proxy ARP e quando usar?
Proxy ARP e quando um roteador responde a ARP Requests em nome de dispositivos em outra rede, atraindo o tráfego para si e depois encaminhando. Foi util em redes legadas e conexões xDSL. Hoje e geralmente desabilitado por padrão por questoes de seguranca e porque cria confusao na tabela ARP. No Cisco IOS, o comando para verificar e show ip interface (exibe se proxy-arp esta habilitado).
Quanto tempo uma entrada fica no cache ARP?
Depende do sistema operacional. Linux mantém entradas reachable por 30-60 segundos e as remove após 300 segundos sem uso. Windows usa 15-45 segundos para entradas reachable, com estado stale por até 10 minutos. Cisco IOS mantém por 4 horas (240 minutos) por padrão, configuravel com o comando arp timeout na interface.
O que acontece se dois dispositivos tiverem o mesmo endereço IP?
Conflito de IP: os dois dispositivos respondem a ARP Requests para aquele IP, e o dispositivo que perguntou pode armazenar o MAC de qualquer um dos dois. O resultado e conectividade intermitente para ambos. Sistemas operacionais modernos detectam conflito via gratuitous ARP ao iniciar e exibem um aviso. Em Windows aparece como "Conflito de endereço IP detectado" na barra de tarefas.
Ver seu IP e MAC
Leituras Relacionadas
- O que é o modelo OSI: as 7 camadas explicadas com exemplos — Modelo OSI: as 7 camadas (Fisica a Aplicacao), PDUs, encapsulamento, comparacao com TCP/IP e exemplos de protocolo por camada. Com citacoes de Tanenbaum e Peterson.
- TCP/IP vs OSI: diferenca entre os dois modelos de redes — TCP/IP tem 4 camadas, OSI tem 7. Compare os dois modelos, veja o mapeamento de protocolos reais (IP, TCP, Ethernet, BGP) e entenda por que o OSI não dominou na prática.
- TTL do pacote IP: como funciona e por que traceroute usa — TTL (Time to Live) do pacote IP: campo de 8 bits que conta saltos, valores padrão por SO (64 Linux, 128 Windows), ICMP Time Exceeded e como o traceroute explora o TTL para mapear roteadores.