Рассмотрим коммутатор без определенных VLAN с двумя настроенными подсетями. Возможно ли спуфинг ARP из одной подсети в другую?
Согласно ответу Эванса в Каковы последствия наличия двух подсетей на одном коммутаторе? это не должно быть возможным («Компьютеры в разных подсетях не будут ARP через подсеть»Я предполагаю, что это возможно, поскольку используется один и тот же домен широковещательной рассылки, а запрос ARP находится на уровне 2.
Это верно. При отсутствии виртуальных локальных сетей и, следовательно, сегментации сети, спуфинг ARP особенно проблематичен, поскольку затрагиваются все клиенты независимо от подсети.
Например, если у вас есть клиент, скажем, на 172.21.1.100/24, шлюз на 172.21.1.1/24 и злоумышленник на 192.168.1.100, бесплатные сообщения ARP могут быть отправлены на все устройства, относящиеся к источнику 172.21.1.1 но с MAC-адресом злостного актера. Поскольку все порты коммутатора находятся в одной VLAN, он с радостью пересылает широковещательные сообщения ARP всем подключенным устройствам.