假设有一个交换机未定义任何 VLAN,但配置了 2 个子网。是否可以从一个子网到另一个子网进行 ARP 欺骗?
根据 Evans 的回复同一台交换机上有两个子网有何影响?这不可能(“不同子网中的计算机不会跨子网进行 ARP”) 我的假设是这是可能的,因为共享同一个广播域并且 ARP 请求在第 2 层。
答案1
没错。没有 Vlan,因此没有网络分段,ARP 欺骗尤其成问题,因为无论子网如何,所有客户端都会受到影响。
例如,如果您在 172.21.1.100/24 上有一个客户端,在 172.21.1.1/24 上有一个网关,在 192.168.1.100 上有一个恶意行为者,则免费 ARP 消息可以发送到所有设备,这些消息来自 172.21.1.1,但带有恶意行为者的 MAC 地址。由于交换机端口都在同一个 VLAN 中,因此它会很乐意将 ARP 广播转发到所有连接的设备。