Por lo tanto, una forma de prevenir el envenenamiento de arp es bloquear la entrada asociada en el caché de arp para la puerta de enlace. Mi pregunta es, ¿por qué no se hace esto por defecto? ¿Cuáles son los inconvenientes? Estaba pensando que no podría conectarse a una nueva red, pero ¿no podría desbloquearla SOLAMENTE cuando se está conectando a una nueva red y bloquearla inmediatamente después?
Un gran inconveniente es que las direcciones MAC están asignadas por defecto por el proveedor en su proceso de producción. Esto significa que cada interfaz de red tiene una dirección MAC única. Ahora imagine el escenario en el que necesita reemplazar esa puerta de enlace debido a un defecto de hardware. Un nuevo dispositivo tendrá una nueva dirección MAC, por lo que, a menos que su software permita configurar manualmente su dirección MAC ( y recuerde hacerlo durante una interrupción), debe actualizar manualmente la tabla ARP en todos los dispositivos conectados a él. Y es posible que esos dispositivos ni siquiera estén bajo su control.
Otro argumento es que, como señalé, muchos dispositivos le permiten cambiar sus direcciones MAC. Entonces, si lo cambian a la misma dirección MAC que la puerta de enlace, aún sería vulnerable al envenenamiento ARP, entonces todo depende del orden en que los clientes reciben las respuestas ARP y cómo las manejan.
Lea otras preguntas en las etiquetas arp-spoofing