# AN1092 — Analytic 1092 ## Descrição Este analítico detecta respostas ARP gratuitas suspeitas ou mapeamentos IP-para-MAC inconsistentes usando `auditd` e captura de pacotes. O foco comportamental é em respostas não solicitadas que sobrescrevem entradas ARP legítimas, indicando possível envenenamento de cache ARP em sistemas Linux. Utiliza telemetria de ferramentas como `arpwatch`, análise de pcap e monitoramento de alterações na tabela ARP do kernel. A detecção é importante porque ataques ARP em sistemas Linux são frequentemente usados para interceptar sessões SSH e credenciais em redes internas corporativas. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[t1056-input-capture|T1056 — Input Capture]] - [[t1021-remote-services|T1021 — Remote Services]] --- *Fonte: [MITRE ATT&CK — AN1092](https://attack.mitre.org/detectionstrategies/DET0387#AN1092)*