iT邦幫忙

0

請問一些封包的問題

我想請問,如果今天MAC位址為00-00-00-00-00-00,經更改後成為11-11-11-11-11-11,封包在出網卡時還會帶有原來的MAC位址嗎?
如果否,那請問要該如何知道那些人更改的MAC位址?
再請各位IT大大解答,感謝

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
26
pcboy
iT邦大師 6 級 ‧ 2009-04-22 09:49:42
最佳解答

如果沒有工具, 應該無法自行變更網路卡上 MAC 值
它的前三碼好像是代表廠商, 不建議亂改
真的有人有能力改了, 應該是無法知道

封包一般會帶網卡的 MAC, 如果用駭客工具半路攔截封包
修改 MAC 再送出, 應該是無法知道

怕 USER 自行改, PC 採購後, 發給使用者前, 紀錄網卡的 MAC
DHCP Server 設定對哪些MAC 配給 IP, 其他不給
或在網路管理設備 ( Router ? Firewall ? ... 如果可以做到) 設定 MAC, 只允許名單中的可以上 Internet

dorahappy iT邦新手 4 級 ‧ 2009-04-22 11:13:48 檢舉

如果沒有工具, 應該無法自行變更網路卡上 MAC 值
它的前三碼好像是代表廠商, 不建議亂改
真的有人有能力改了, 應該是無法知道

所以是封包一傳出來就是假的MAC囉?
封包一般會帶網卡的 MAC, 如果用駭客工具半路攔截封包
修改 MAC 再送出, 應該是無法知道
這種被修改的應該是真的很難查拉,很難對付@@
怕 USER 自行改, PC 採購後, 發給使用者前, 紀錄網卡的 MAC
DHCP Server 設定對哪些MAC 配給 IP, 其他不給
或在網路管理設備 ( Router ? Firewall ? ... 如果可以做到) 設定 MAC, 只允許名單中的可以上 Internet
嗯嗯..不過要得知網段內的IP及MAC實在太容易了..只要將自己卡號改成別人的就可以用別人的名義去做壞事了..而ROUTER及SWICTH其實很笨..雖然有寫卡號但是在DHCP下的環境...他看到這張被盜用網卡卡號依然是可以正確通過..應該是要埠號配卡號來鎖比較實用..不知道我的想法有沒有錯?應該是這樣吧?
不知道有沒有人有架好的SNIFFER或者有此經驗的大大回答看看.假MAC的封包是否會帶真實MAC出來??(正常已經騙O.S了..我是覺得可能出來的封包應該是假的了)

18
cheng
iT邦好手 1 級 ‧ 2009-04-23 07:56:43

你說的確實也沒有錯
建議可以用基層SWITCH來做控管也可以
現在都有這樣設備,IP-MAC-PORT的設備
只要隨意更改就會被紀錄或被LOCK

cheng iT邦好手 1 級 ‧ 2009-04-29 08:14:29 檢舉

其實當你有能力改MAC與IP時候怎樣的網管軟體應該都沒有用
畢竟他仿冒了別人的資料上網
一般我的設定方式就是每個PORT對應一組IP與MAC
當送出的資料對應有問題時會自動被踢出
並鎖定有問題電腦,一般使用者就會自動打電話告知囉

14
nevermind
iT邦新手 3 級 ‧ 2009-04-23 10:36:40

網卡可以改啊
但是有些網卡可能不支援

小弟分享一下

裝置管理員 \ 網路介面卡 \ 該網卡右鍵內容 \ 進階 \ NetworkAddress

旁邊有個數值您改看看
然後找別的電腦去Ping改這台改網卡的電腦

然後下arp去看~~
你就會知道被改啦~~

至於傳輸的封包內~網卡位置呢~~???

嘿嘿嘿~你去LAB做一下就知道啦^^

14
cklin
iT邦新手 2 級 ‧ 2009-04-23 18:22:16

封包的MAC Address 可不可以改,答案是可以的。
但是否能完全改成功? 要看改的人所用的工具和功力。
有些好的工具或作業系統就直接提供修改MAC功能,例如 VMware的VNIC 都可以讓管理者自己改。
但改的人功力不好的話,即使有地方可以改,一改出來就會被發現。
有一些習慣成俗的[禁用]MAC,如開版大所提的0000.0000.0000 或FFFF.FFFF.FFFF
這些MAC 有一些比較聰明一點的網路設備自動就過濾掉,不會有作用。

之前小弟待的公司RD有做網路卡類的產品研發,在OA網路上會擷取到帶 ABCD.EF12.3456 或1234.4567.890A 這樣的怪MAC,一看就知道這是RD同仁的傑作。

提供你一個簡單的方法,讓改MAC的人自動來報到找你。
將公司Intranet內部網路設備的MAC Table 和 ARP Table 的Agent Time 存活時間調長一點或DHCP IP租期調長,因為亂改MAC的人就是要測試改過的MAC是否能立即上網,一但被 MAC/ARP/DHCP 被記錄到舊的資料無法用新改的MAC Address,那他就自己會跑來找你。

如果你們單位非常有$$可以考慮建置 NAC (Network Control Access) 網路權限存取機制,或導入802.1x 等方式。 嘿嘿~~ 那就誰上網都知道了。

12
twnem
iT邦好手 1 級 ‧ 2009-04-28 22:31:35

日後再採購硬體設備時
可以建議購買有支援IP-MAC-PORT的設備
因為竄改 MAC 時,系統就會封鎖
這樣會是比較好控管的方式之一

cklin iT邦新手 2 級 ‧ 2009-04-29 09:12:24 檢舉

MAC-PORT 鎖定這個技術在Cisco 設備上是 Port Security sticky,但勸各位千萬不要鎖死,因為每天光應付PC搬家的、更換網卡的需求,就有夠忙的了。

dorahappy iT邦新手 4 級 ‧ 2009-04-30 11:08:10 檢舉

恩..我也+1票..限制越多管的越多..越安全越麻煩....事情很難完美我有這種體認..只有做就是了(淚)

我要發表回答

立即登入回答