這是一個非常初級的問題。我們知道 ARP 協定根本不安全。電腦和路由器(/交換器)信任 ARP 回應並更新其 ARP 快取(據我所知)。那麼,如果無線路由器只需檢查其 MAC 快取中的兩個或多個介面是否具有相同的 MAC 位址,為什麼它們無法偵測 ARP 欺騙呢?
我還缺其他東西嗎?
答案1
主要是因為這不是一個很容易預防的答案。除非無線路由器寫入了額外的安全軟體,否則路由器無法驗證您的身分。它只需要接受它看到的資料包,而機器就是它所說的那樣。
防止 arp 欺騙的主要方法是網路存取控制。路由器 A 取得一個包含機器 A 的使用者名稱/密碼的帳戶。因此,路由器現在知道機器 A 的 mac 位址是透過使用者名稱/密碼授權的,機器 A 知道路由器 A mac 已通過身份驗證。駭客機器 B 出現,嘗試進行 arp 欺騙,但路由器 A 沒有從駭客機器 A 取得身分驗證令牌,因此將其視為無效資料包,並丟棄 arp 更新。機器 A 也發生同樣的情況,它從駭客機器 B 取得 arp 更新,但封包未經過身份驗證,因此被丟棄。
如果沒有這種身分驗證,標準路由器就無法知道機器 A 確實是機器 A,而不是駭客機器 B。
現在,每個資料包上的所有額外驗證都需要額外的處理器能力。為了讓路由器能夠處理這個問題,它必須有更好的處理器和更多的內存,這使得它更昂貴,並且當人們只考慮價格時不太可能被選擇。
答案2
通常,在無線路由器中,LAN 連接埠和無線收發器共用相同的表,並在邏輯上組合成一個介面。 (即,在 LAN 和無線網路之間路由流量時,路由器的作用更像是集線器。)
就外部 (WAN) 介面而言,這通常是點對點介面(一條線路連接到另一台路由器)。因此,就無線路由器而言,此介面的另一側只有一個 IP/Mac。
此外,一個 MAC 位址完全有可能具有多個 IP 位址,並且對於負載平衡設置,也可能在多台電腦之間共用一個 IP 位址。