Это очень начальный вопрос. Мы знаем, что протокол ARP вообще не защищен. Компьютеры и маршрутизаторы (/коммутаторы) доверяют ответам ARP и обновляют свои кэши ARP (насколько мне известно). Так почему же беспроводные маршрутизаторы не могут обнаружить подмену ARP, если им нужно только проверить, что два или более интерфейсов в их кэше MAC имеют одинаковый MAC-адрес?
Я что-то еще упустил?
решение1
Прежде всего потому, что это не очень простой ответ для предотвращения. Если только беспроводной маршрутизатор не имеет дополнительного программного обеспечения безопасности, записанного в него, маршрутизатор не имеет возможности аутентифицировать вас как того, за кого вы себя выдаете. Он просто должен принять пакеты, которые он видит, и убедиться, что машина является тем, за кого себя выдает.
Основной способ предотвращения подмены arp — это управление сетевым доступом. Маршрутизатору A предоставляется учетная запись с именем пользователя/паролем для машины A. Когда машина A пытается подключиться, она должна предоставить это имя пользователя/пароль. Таким образом, маршрутизатор теперь знает, что mac-адрес машины A авторизован с помощью имени пользователя/пароля, а машина A знает, что mac маршрутизатора A аутентифицирован. Появляется хакерская машина B, пытается выполнить подмену arp, но маршрутизатор A не получает токен аутентификации от хакерской машины A, поэтому рассматривает это как недействительный пакет и сбрасывает обновление arp. То же самое происходит с машиной A, она получает обновление arp от хакерской машины B, но пакет не аутентифицирован, поэтому он сбрасывается.
Без этой аутентификации стандартный маршрутизатор не сможет узнать, что Машина А — это действительно Машина А, а не Хакерская Машина B.
Теперь вся эта дополнительная аутентификация в каждом пакете требует дополнительной мощности процессора. Чтобы маршрутизатор мог справиться с этим, у него должен быть лучший процессор и больше памяти, что делает его более дорогим и менее вероятным, когда люди смотрят только на цену.
решение2
Часто в беспроводных маршрутизаторах порты LAN и беспроводная радиосвязь используют одни и те же таблицы и логически объединяются в один интерфейс. (т.е. маршрутизатор действует скорее как концентратор при маршрутизации трафика между локальной сетью и беспроводной сетью.)
Что касается внешнего (WAN) интерфейса, то это обычно интерфейс точка-точка (одна линия, соединяющая другой маршрутизатор). Поэтому с другой стороны этого интерфейса есть только один IP/Mac, что касается беспроводного маршрутизатора.
Кроме того, вполне возможно, что один MAC-адрес имеет несколько IP-адресов, а для балансировки нагрузки также возможно, что один IP-адрес будет использоваться совместно несколькими компьютерами.