これは非常に初歩的な質問です。ARP プロトコルがまったく安全ではないことはわかっています。コンピューターとルーター (/スイッチ) は ARP 応答を信頼し、ARP キャッシュを更新します (私の知る限り)。では、ワイヤレス ルーターは、MAC キャッシュ内の 2 つ以上のインターフェイスが同じ MAC アドレスを持っていることを確認するだけでよいのに、なぜ ARP スプーフィングを検出できないのでしょうか。
他に何か見落としているのでしょうか?
答え1
主な理由は、これを防ぐのがそれほど簡単な答えではないからです。ワイヤレス ルーターに追加のセキュリティ ソフトウェアが書き込まれていない限り、ルーターはユーザーが本人であるかどうかを認証する方法がありません。ルーターは、受信したパケットを受け入れ、マシンが本人であることを確認するだけで済みます。
ARP スプーフィングを防ぐ主な方法は、ネットワーク アクセス コントロールです。ルータ A には、マシン A のユーザー名/パスワードを持つアカウントが与えられます。マシン A が接続しようとする場合、そのユーザー名/パスワードを入力する必要があります。したがって、ルータは、マシン A の MAC アドレスがユーザー名/パスワードによって承認されていることを認識し、マシン A は、ルータ A の MAC アドレスが認証されていることを認識します。ハッカー マシン B がやって来て、ARP スプーフィングを試みますが、ルータ A はハッカー マシン A から認証トークンを取得しないため、それを無効なパケットとして扱い、ARP 更新をドロップします。同じことがマシン A でも起こり、ハッカー マシン B から ARP 更新を取得しますが、パケットは認証されていないため、ドロップされます。
この認証がなければ、標準ルーターはマシン A が実際にマシン A であり、ハッカー マシン B ではないことを認識できません。
パケットごとに追加の認証を行うには、余分なプロセッサパワーが必要になります。ルーターがこれを処理するには、より高性能なプロセッサとより多くのメモリが必要になり、その結果ルーターは高価になり、価格だけを重視する場合には選ばれる可能性が低くなります。
答え2
多くの場合、ワイヤレス ルーターでは、LAN ポートとワイヤレス無線は同じテーブルを共有し、論理的に 1 つのインターフェイスに結合されます (つまり、ルーターは、LAN とワイヤレス ネットワーク間のトラフィックをルーティングするときに、ハブのように動作します)。
外部 (WAN) インターフェイスに関しては、これは通常、ポイントツーポイント インターフェイス (別のルーターに接続する 1 本の回線) です。したがって、ワイヤレス ルーターに関する限り、このインターフェイスの反対側には IP/Mac が 1 つだけ存在します。
さらに、1 つの MAC アドレスに複数の IP アドレスを割り当てることも可能であり、負荷分散設定では 1 つの IP アドレスを複数のコンピューター間で共有することも可能です。