det0387-detect-arp-cache-poisoning-across-linux-windows-and-macos

# DET0387 — Detect ARP Cache Poisoning Across Linux, Windows, and macOS ## Descrição O envenenamento de cache ARP (ARP Poisoning / ARP Spoofing) é uma técnica de Man-in-the-Middle de rede local onde o adversário envia respostas ARP falsas para associar seu endereço MAC ao endereço IP de outro host na rede (como o gateway padrão ou um servidor crítico), redirecionando o tráfego de rede das vítimas pelo dispositivo do atacante. Isso permite interceptação de tráfego não-criptografado, captura de credenciais, inserção de conteúdo malicioso em respostas HTTP, e downgrade de conexões seguras. Ferramentas como `arpspoof`, `ettercap`, `bettercap` e `Cain & Abel` automatizam o ataque. A técnica é particularmente relevante em ataques de insider threat, comprometimento de dispositivos em redes corporativas Wi-Fi, e em cenários onde o adversário já possui acesso físico ou lógico à rede local. Em ambientes de data center com switches gerenciados, ARP Dynamic Inspection pode bloquear o ataque, mas em redes planas ou mal configuradas, é amplamente explorado. O ataque é multiplataforma — pode ser lançado de Linux, Windows ou macOS com as ferramentas adequadas. A detecção requer monitoramento do tráfego ARP na rede local para identificar respostas ARP não-solicitadas (gratuitous ARP com intenção maliciosa), múltiplas respostas ARP para o mesmo IP com MACs diferentes, e mudanças frequentes de mapeamento IP-MAC em tabelas ARP de hosts. ## Indicadores de Detecção - Múltiplas respostas ARP para o mesmo IP de endereços MAC distintos em curto intervalo - Entrada ARP de gateway padrão apontando para MAC diferente do registrado no inventário - Gratuitous ARP broadcast frequente de um único host (ferramenta de spoofing ativa) - Mudança súbita de MAC em tabela ARP de switch gerenciado para IP crítico (servidor, gateway) - Tráfego ARP com taxa acima de baseline para determinado segmento de rede (flood de ARP) - Logs de ARP Dynamic Inspection no switch reportando violações de binding IP-MAC ## Técnicas Relacionadas - [[T1557002-arp-cache-poisoning|T1557.002 — ARP Cache Poisoning]] - [[t1557-adversary-in-the-middle|T1557 — Adversary-in-the-Middle]] - [[t1040-network-sniffing|T1040 — Network Sniffing]] - [[T1056001-keylogging|T1056.001 — Keylogging]] - [[t1539-steal-web-session-cookie|T1539 — Steal Web Session Cookie]] ## Analytics Relacionadas - [[an1091-analytic-1091|AN1091 — Analytic 1091]] - [[an1092-analytic-1092|AN1092 — Analytic 1092]] - [[an1093-analytic-1093|AN1093 — Analytic 1093]] --- *Fonte: [MITRE ATT&CK — DET0387](https://attack.mitre.org/detectionstrategies/DET0387)*