🚀 INTRODUÇÃO
Se você já atendeu um cliente com sintomas como:
- Internet lenta sem motivo
- Rede que “funciona e para”
- Dispositivos que somem da rede
- Ping inconsistente
👉 E mesmo assim tudo parecia correto…
Então você provavelmente já esteve diante de um problema de baixo nível:
ARP (Address Resolution Protocol)
E aqui está o ponto que separa técnico comum de técnico profissional:
👉 Quem sabe analisar ARP com Wireshark resolve problemas que outros nem conseguem enxergar.
Neste guia você vai aprender:
- Como capturar pacotes ARP reais
- Como interpretar tráfego no Wireshark
- Como identificar falhas invisíveis
- Como detectar ataques MITM na prática
- Como diagnosticar redes como um profissional
🧩 O QUE O WIRESHARK MOSTRA SOBRE O ARP
Quando você aplica o filtro:
arp
Você passa a ver exatamente o que acontece dentro da rede local.
🔍 TIPOS DE PACOTES ARP
🔹 ARP Request (Broadcast)
Exemplo real:
Who has 192.168.0.1? Tell 192.168.0.10
👉 Isso significa:
- Um dispositivo quer descobrir o MAC do gateway
🔹 ARP Reply (Resposta)
192.168.0.1 is at AA:BB:CC:DD:EE:FF
👉 O dispositivo responde com seu MAC
🧠 INTERPRETAÇÃO PROFISSIONAL
Aqui entra o conhecimento que pouca gente tem.
✔️ Comportamento normal:
- Poucas requisições ARP
- Respostas rápidas e consistentes
- Mesmo MAC sempre associado ao mesmo IP
⚠️ Comportamento suspeito:
- Muitas requisições repetidas
- Respostas diferentes para o mesmo IP
- Mudança constante de MAC
👉 Isso já indica problema ou ataque
🧪 CAPTURA REAL DE PACOTES ARP (LAB PRÁTICO)
🔧 Cenário:
- Notebook do cliente
- Roteador
- Outros dispositivos da rede
🔄 Procedimento:
- Abrir o Wireshark
- Selecionar a interface correta
- Aplicar filtro:
arp
- Gerar tráfego:
- Abrir sites
- Fazer ping no roteador
🔎 O QUE ANALISAR
- Frequência dos pacotes
- Consistência IP → MAC
- Mudanças ao longo do tempo
🚨 IDENTIFICANDO PROBLEMAS REAIS NA PRÁTICA
🔥 1. IP COM MAC DIFERENTE
Exemplo:
192.168.0.1 → AA:AA:AA
192.168.0.1 → BB:BB:BB
👉 Isso NÃO é normal
🔥 2. FLOOD DE ARP
👉 Muitos pacotes por segundo
Possíveis causas:
- Dispositivo com defeito
- IoT mal otimizado
- Loop de rede
🔥 3. ARP SEM RESPOSTA
👉 Pode indicar:
- Equipamento offline
- Problema físico
- Falha de rede
☠️ ATAQUE MITM COM ARP SPOOFING (EXPLICAÇÃO REAL)
⚠️ IMPORTANTE
Esse cenário deve ser estudado apenas em ambiente controlado.
🧠 COMO FUNCIONA O ATAQUE
O atacante faz duas coisas:
🔹 Engana a vítima:
192.168.0.1 is at MAC_DO_ATACANTE
🔹 Engana o roteador:
192.168.0.10 is at MAC_DO_ATACANTE
👉 Resultado:
Todo tráfego passa pelo atacante
🔄 Fluxo real:
Vítima → Atacante → Roteador
🛠️ FERRAMENTAS UTILIZADAS
- Ettercap
- Bettercap
💥 IMPACTOS REAIS
- Lentidão na rede
- Interceptação de dados
- Possível alteração de tráfego
🔍 COMO IDENTIFICAR MITM NO WIRESHARK
🚨 INDICADOR 1 — MAC DO GATEWAY MUDANDO
👉 Sinal crítico
🚨 INDICADOR 2 — RESPOSTAS DUPLAS
Mesmo IP com dois MACs
🚨 INDICADOR 3 — ARP GRATUITOUS
Pacotes sem solicitação:
192.168.0.1 is at XX:XX:XX
👉 Isso é altamente suspeito
🛡️ COMO SE PROTEGER
✔️ Em redes domésticas:
- Reiniciar roteador
- Atualizar firmware
- Evitar dispositivos desconhecidos
✔️ Em redes corporativas:
- DHCP Snooping
- ARP Inspection
- VLAN
✔️ No Windows:
arp -d *
👉 Limpa a tabela ARP
🧠 CASOS REAIS (EXPERIÊNCIA VMIA)
📌 Caso 1 — Internet lenta
👉 Problema:
- Câmera IP gerando flood de ARP
📌 Caso 2 — Rede instável
👉 Problema:
- TV com MAC duplicado
📌 Caso 3 — Suspeita de invasão
👉 Problema:
- Repetidor pirata interferindo
🧾 CONCLUSÃO
O ARP é invisível…
Mas quando algo dá errado:
👉 A rede simplesmente para de funcionar corretamente.
👉 E aqui está o diferencial:
A maioria dos técnicos:
- não analisa pacotes
- não usa Wireshark
- troca equipamento sem diagnóstico
👉 Já o profissional de verdade:
- captura tráfego
- interpreta dados
- resolve a causa real
❓ FAQ
🔹 O que é ARP spoofing?
É um ataque onde um dispositivo se passa por outro na rede.
🔹 Como detectar MITM?
Com análise de pacotes no Wireshark.
🔹 Wireshark é seguro?
Sim, é uma ferramenta profissional de análise.
🔹 ARP pode causar lentidão?
Sim, principalmente em conflitos ou ataques.
🎯 VMIA
🌟 Sua rede está lenta, instável ou com comportamento estranho?
Na VMIA – Manutenção e Configuração, realizamos diagnóstico avançado com análise de tráfego real, identificando falhas invisíveis como ARP, interferência e ataques.
🔧 Atendimento técnico especializado
💻 Suporte remoto e presencial
👉 https://vmia.site
📲 https://whats.vmia.com.br
📍 Rua Sud Menucci 291 – Vila Mariana – São Paulo – SP
🧩 PARTE 1 — ESTRUTURA REAL DE UM PACOTE ARP
Um pacote ARP NÃO vem sozinho.
Ele vem dentro de um frame Ethernet.
🔹 ESTRUTURA COMPLETA
[ Ethernet Header ] + [ ARP Payload ]
🔸 1. ETHERNET HEADER (14 bytes)
| Campo | Tamanho | Descrição |
|---|---|---|
| Dest MAC | 6 bytes | Destino |
| Source MAC | 6 bytes | Origem |
| EtherType | 2 bytes | Tipo (ARP = 0x0806) |
🔸 2. ARP PAYLOAD (28 bytes)
| Campo | Tamanho |
|---|---|
| Hardware Type | 2 bytes |
| Protocol Type | 2 bytes |
| Hardware Size | 1 byte |
| Protocol Size | 1 byte |
| Opcode | 2 bytes |
| Sender MAC | 6 bytes |
| Sender IP | 4 bytes |
| Target MAC | 6 bytes |
| Target IP | 4 bytes |
👉 Total: 42 bytes
🧪 PARTE 2 — PACOTE ARP REAL EM HEX
Agora vamos para o que poucos dominam.
📡 EXEMPLO REAL (ARP REQUEST)
FF FF FF FF FF FF → Dest MAC (Broadcast)
AA BB CC DD EE FF → Source MAC
08 06 → EtherType (ARP)00 01 → Hardware Type (Ethernet)
08 00 → Protocol Type (IPv4)
06 → MAC size
04 → IP size
00 01 → Opcode (Request)AA BB CC DD EE FF → Sender MAC
C0 A8 00 0A → Sender IP (192.168.0.10)00 00 00 00 00 00 → Target MAC (desconhecido)
C0 A8 00 01 → Target IP (192.168.0.1)
🧠 INTERPRETAÇÃO PROFISSIONAL
🔹 Broadcast
FF FF FF FF FF FF
👉 Enviado para TODA a rede
🔹 EtherType
08 06
👉 Indica ARP
🔹 Opcode
00 01
👉 Request (pedido)
🔹 Sender IP
C0 A8 00 0A → 192.168.0.10
🔹 Target IP
192.168.0.1
👉 Está sendo consultado
🔁 PARTE 3 — ARP REPLY EM HEX
📡 EXEMPLO
AA BB CC DD EE FF → Destino
11 22 33 44 55 66 → Origem
08 0600 01
08 00
06
04
00 02 → Opcode Reply11 22 33 44 55 66 → Sender MAC
C0 A8 00 01 → Sender IPAA BB CC DD EE FF → Target MAC
C0 A8 00 0A → Target IP
🧠 DIFERENÇA CRÍTICA
00 01 = Request
00 02 = Reply
🔍 PARTE 4 — COMO O WIRESHARK TRADUZ ISSO
Quando você clica em um pacote no Wireshark:
Ele mostra:
- Ethernet II
- Address Resolution Protocol
🔹 O que você vê:
- Sender MAC
- Sender IP
- Target MAC
- Target IP
👉 Mas por baixo… é exatamente aquele HEX
☠️ PARTE 5 — DETECTANDO MITM PELO HEX
Agora vem o diferencial absurdo.
🚨 CENÁRIO DE ATAQUE
Atacante envia:
192.168.0.1 is at MAC_FAKE
🔍 COMO IDENTIFICAR NO HEX
🔥 SINAL 1 — MAC DO GATEWAY ALTERADO
Compare pacotes:
Antes:
192.168.0.1 → 11 22 33 44 55 66
Depois:
192.168.0.1 → AA AA AA AA AA AA
👉 Isso é ataque
🔥 SINAL 2 — ARP REPLY SEM REQUEST
👉 No Wireshark:
- Só aparece resposta
- Não houve pergunta
👉 Isso é ARP spoofing
🔥 SINAL 3 — GRATUITOUS ARP
Pacote:
Sender IP = Target IP
👉 Usado em ataques ou atualizações
🧪 PARTE 6 — LAB PRÁTICO (ENGENHARIA)
🎯 OBJETIVO
Capturar ataque real
🔧 Setup
- PC vítima
- PC atacante
- Roteador
🛠️ Execução (conceito)
Ferramentas:
- Bettercap
- Ettercap
🔥 O QUE VAI APARECER NO WIRESHARK
- ARP Reply constante
- MAC mudando
- Flood de pacotes
🛡️ PARTE 7 — DEFESA EM NÍVEL AVANÇADO
✔️ Técnicas reais
🔹 Static ARP
Fixar IP → MAC manualmente
🔹 DHCP Snooping
Evita falsificação
🔹 Dynamic ARP Inspection
Bloqueia spoofing
🔹 VLAN
Segmenta rede
🧠 PARTE 8 — DIFERENCIAL PROFISSIONAL
👉 Técnico comum:
- Reinicia roteador
- Troca cabo
- Formata PC
👉 Técnico avançado:
- Analisa pacotes
- Lê HEX
- Identifica ataque
- Resolve causa raiz
🧾 CONCLUSÃO
ARP é simples na teoria…
Mas no nível real:
👉 Ele envolve:
- Frame Ethernet
- Estrutura binária
- Segurança de rede
- Análise de tráfego
👉 E dominar isso significa:
💥 Resolver problemas invisíveis
💥 Detectar ataques reais
💥 Ter autoridade técnica absurda
🎯 VMIA
🌟 Sua rede apresenta falhas que ninguém consegue explicar?
Na VMIA, utilizamos análise avançada com captura de pacotes, leitura técnica de protocolos e diagnóstico profissional.
🔧 Engenharia de rede aplicada
💻 Atendimento remoto e presencial
👉 https://vmia.site
📲 https://whats.vmia.com.br
📍 Vila Mariana – São Paulo
🧠 LABORATÓRIO COMPLETO ARP + MITM + PCAP (NÍVEL PROFISSIONAL)
🎯 OBJETIVO DO LAB
Você vai:
✔ Capturar tráfego ARP real
✔ Simular ataque MITM (controlado)
✔ Gerar arquivo .pcap
✔ Analisar pacote por pacote
✔ Identificar ataque no Wireshark
🧩 ESTRUTURA DO AMBIENTE
🔧 Topologia
[ PC VÍTIMA ] ←→ [ ROTEADOR ] ←→ INTERNET
↑
[ PC ATACANTE ]
💻 Requisitos
PC 1 (Vítima)
- Windows 10 ou 11
PC 2 (Atacante)
- Linux (Kali recomendado)
Ferramentas:
- Wireshark
- Bettercap
🧪 PARTE 1 — CAPTURA BASELINE (REDE NORMAL)
🎯 Objetivo:
Capturar comportamento normal
🔄 Passos
1. No PC vítima:
Abrir Wireshark
Selecionar interface
Aplicar filtro:
arp
2. Gerar tráfego:
- Abrir navegador
- Acessar qualquer site
- Rodar:
ping 192.168.0.1
💾 Salvar captura:
Arquivo → Save As → baseline_arp.pcap
🧠 O QUE VOCÊ DEVE VER
✔ Poucos pacotes ARP
✔ Mesmo MAC para o gateway
✔ Request → Reply normal
⚠️ PARTE 2 — EXECUTANDO MITM (LAB CONTROLADO)
🚨 IMPORTANTE
👉 Apenas em ambiente controlado
👉 Rede sua ou autorizada
🔄 No PC atacante (Linux)
1. Descobrir rede:
ip a
2. Ativar Bettercap:
sudo bettercap -iface wlan0
3. Dentro do Bettercap:
net.probe on
set arp.spoof.targets 192.168.0.10
arp.spoof on
👉 Isso inicia o ataque
🔥 O QUE ACONTECE
O atacante:
- Se passa pelo roteador
- Se passa pela vítima
🔄 Fluxo real:
Vítima → Atacante → Roteador
🧪 PARTE 3 — CAPTURA DO ATAQUE (PCAP REAL)
🎯 Objetivo:
Registrar evidência do ataque
No PC vítima:
Wireshark ainda rodando
Aplicar filtro:
arp
Deixar rodar 2 a 5 minutos
💾 Salvar:
mitm_arp_attack.pcap
🔍 PARTE 4 — ANÁLISE DO PCAP (NÍVEL PROFISSIONAL)
Agora começa o diferencial real.
🔎 1. ABRIR PCAP
No Wireshark
🔎 2. FILTRAR ARP
arp
🚨 3. IDENTIFICAR SINAIS DE ATAQUE
🔥 INDICADOR 1 — ARP REPLY CONSTANTE
Você vai ver:
- Muitos pacotes
- Sem intervalo normal
🔥 INDICADOR 2 — MAC DO GATEWAY MUDANDO
Antes:
192.168.0.1 → 11:22:33:44:55:66
Depois:
192.168.0.1 → AA:AA:AA:AA:AA:AA
👉 Isso é MITM
🔥 INDICADOR 3 — ARP GRATUITOUS
Pacotes como:
192.168.0.1 is at AA:AA:AA
👉 Sem request anterior
🔥 INDICADOR 4 — FLOOD
Muitos pacotes por segundo
🧠 INTERPRETAÇÃO
👉 O atacante está:
- Reescrevendo o ARP cache
- Enganando vítima e roteador
🔬 PARTE 5 — ANÁLISE HEX DO PCAP
Clique em um pacote → aba HEX
🔎 Identifique:
🔹 EtherType
08 06 → ARP
🔹 Opcode
00 02 → Reply
🔹 Sender MAC
👉 Veja se mudou
🔹 Sender IP
👉 Gateway sendo falsificado
🧠 DICA PROFISSIONAL
👉 Compare dois pacotes:
- Antes do ataque
- Durante o ataque
💥 Isso revela tudo
🛡️ PARTE 6 — COMO MITIGAR (PRÁTICA REAL)
✔️ Rápido (cliente comum)
- Reiniciar roteador
- Desconectar dispositivos suspeitos
✔️ Intermediário
- Atualizar firmware
- Trocar senha Wi-Fi
✔️ Avançado
- Static ARP
- VLAN
- DHCP Snooping
- ARP Inspection
🧠 PARTE 7 — COMO TRANSFORMAR ISSO EM SERVIÇO VMIA
👉 Você pode vender isso como:
🔧 Diagnóstico avançado de rede
Incluindo:
- Captura de pacotes
- Análise técnica
- Identificação de ataques
- Otimização de rede
💰 Diferencial
Quase ninguém oferece isso
🧾 CONCLUSÃO
Esse laboratório te dá:
✔ Visão real de como a rede funciona
✔ Capacidade de detectar problemas invisíveis
✔ Conhecimento de nível engenharia
👉 E mais importante:
Você passa de:
❌ técnico comum
➡️
🔥 especialista em diagnóstico
🎯 VMIA
🌟 Sua rede está lenta, instável ou com comportamento estranho?
Na VMIA, realizamos análise avançada com captura de pacotes (.pcap), identificação de falhas invisíveis e diagnóstico profissional completo.
🔧 Engenharia de rede aplicada
💻 Atendimento remoto e presencial
👉 https://vmia.site
📲 https://whats.vmia.com.br
📍 Vila Mariana – São Paulo
Faça um comentário