为什么无线路由器无法检测ARP欺骗?

为什么无线路由器无法检测ARP欺骗?

这是一个非常初级的问题。我们知道 ARP 协议根本不安全。计算机和路由器(/交换机)信任 ARP 回复并更新其 ARP 缓存(据我所知)。那么,如果无线路由器只需检查其 MAC 缓存中的两个或多个接口是否具有相同的 MAC 地址,为什么它们无法检测到 ARP 欺骗?

我还遗漏了什么吗?

答案1

主要是因为这不是一个很容易预防的答案。除非无线路由器中写入了额外的安全软件,否则路由器无法验证您的身份。它只能接受它看到的数据包,并确认该机器确实是它所说的那个人。

防止 arp 欺骗的主要方法是网络访问控制。路由器 A 被赋予一个机器 A 的用户名/密码帐户。当机器 A 尝试连接时,它必须提供该用户名/密码。因此,路由器现在知道机器 A 的 mac 地址已由用户名/密码授权,并且机器 A 知道路由器 A mac 已通过身份验证。黑客机器 B 出现,尝试进行 arp 欺骗,但路由器 A 没有从黑客机器 A 获得身份验证令牌,因此将其视为无效数据包,并丢弃 arp 更新。机器 A 也发生同样的事情,它从黑客机器 B 获得 arp 更新,但数据包未通过身份验证,因此被丢弃。

如果没有这种身份验证,标准路由器就无法知道机器 A 确实是机器 A,而不是黑客机器 B。

现在,每个数据包上的所有额外身份验证都需要额外的处理器能力。为了处理这个问题,路由器必须有更好的处理器和更多的内存,这使得它更昂贵,当人们只看价格时,不太可能被选择。

答案2

通常在无线路由器中,LAN 端口和无线电共享相同的表,并在逻辑上组合成一个接口。(即,在 LAN 和无线网络之间路由流量时,路由器更像是一个集线器。)

就外部 (WAN) 接口而言,这通常是点对点接口(一条线路连接到另一个路由器)。因此,就无线路由器而言,此接口的另一侧只有一个 IP/Mac。

此外,一个 MAC 地址完全有可能有多个 IP 地址,并且对于负载平衡设置,一个 IP 地址也可能由多台计算机共享。

相关内容