| Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум программистов > Сетевые технологии > как отследить смену MAC-адреса |
| Автор: skyboy 24.11.2008, 12:29 |
| у человека провайдер следит, чтоб работа велась только с одного жестко заданного МАС-адреса. думаю, много кто с таким сталкивался. Этот же человек говорит, что пробовал на другом компьютере МАС-адрес менять на зарегистрированный у провайдера. но в интернет его не пускало(мол, неверный адрес, осталось 4 попытки подключения). я считал, что сетевое устройство может быть опознано только по МАС и IP. неужель, есть ещё какие данные, уникально идентифицирующие сетевое устройство? |
| Автор: marykone 24.11.2008, 12:57 | ||||
arp security (у кошек ) Добавлено через 9 минут и 18 секунд
что именно так и говорит ? |
| Автор: skyboy 24.11.2008, 14:10 | ||||||
информацию получал от человека устно. маловероятно, чтоб я услышал текст сообщения дословно. скорее, был передан смысл. кроме того, человек не уточнил, где была эта ошибка: при попытке доступа к сайту вместо ожидаемой страницы выдавалась или каким-то образом в диалоге подключения к сети(конечно, маловероятно). Добавлено через 30 секунд
спасиб. покопаю в ту сторону. уж больно интересно. "кошка" - cisco, как я разумею? Добавлено через 12 минут и 47 секунд
если можно, хотя бы чуток подробнее. запрос "arp security cisco" выдал просто немыслимое количество результатов. в первой десятке ничего подобного вопросу не нашел. максимум - защита от ARP-spoofing атаки. но ведь в моем случае и ip, и МАС-адрес не меняется! |
| Автор: redona 24.11.2008, 15:49 | ||
возражать не буду, но мне кажется. что была ошибка при введении MAC-а, обычно подмена его проходит успешно у большинства провайдеров, т.е. я бы на вашем месте лично проконтролировал процесс подмены, очень большая вероятность, что неправильны либо IP, либо MAC. Если нет возможности проконтролировать лично, то после подмены пусть сделает - ipconfig /all и скинет вам результаты для проверки. |
| Автор: marykone 24.11.2008, 16:47 | ||||||
ага
тут я вас немного обманул arp security, это у allied telesis а у cisco arp inspector
это с той оперы что вам нужно просто там (могу ошибаться ) там смена мака как то мониторится про технологию почитать можно набрав что нить типа using arp security and proxy arp это статья оленей но механизм будет понятен у циско мало видел инфы вообще про инспектор + возможно у вашего товарища используется аутентификация по порту (802.1x) как вариант если используется провайдером dhcp выдача то применима технология dhcp snoopingю в любом случае либо ваш товарищ ошибается либо защита завязанна именно на том что я перечислил. |
| Автор: skyboy 24.11.2008, 16:49 | ||||||
redona, спасибо, резонно. но меня больше интересовала теория - оказалось, что моя база(понимание как работает разрешение IP в МАС посредством ARP) в корне не верна, раз можно обнаружить подмену МАСа при только одном одновременно работающем клиенте. вот и интересуюсь: как же так, куда бежать и что делать(читать)?
это словесная перестраховка от глобальных обобщений или методы обнаружения подмены у "меньшинства провайдеров" таки известны? Добавлено через 3 минуты и 59 секунд
нет. насколько понял, там другое: МАСи разные, и атакующий при подаче ARP запроса жертвы пытается ответить первым. к примеру, чтоб вместо шлюза перехватывать траффик жертвы. или компрометировать другой компьютер рассылкой данных от имени жертвы. Добавлено через 9 минут и 40 секунд
http://en.wikipedia.org/wiki/IEEE_802.1X - это для беспроводных сетей? нет, там сеть очень даже проводная. ethernet технология(через сеть кабельного телевидения, видимо через VPN-соединение). Добавлено через 14 минут и 43 секунды ага, кое-что http://xgu.ru/wiki/MAC-spoofing для МАС-spoofing'a. там и про port security говорится вроде как. marykone, спасибо за наводку! |
| Автор: skyboy 24.11.2008, 17:06 |
| плохо: как я понял из информации о http://xgu.ru/wiki/Port_security, функция бесполезна, если физически разные клиенты с идентичными МАС-адресами будут подключаться через один и тот же кабель(соответственно, один и тот же порт одного и того же коммутатора). так что теперь вариант readona насчет обычной ошибки при вводе становится наиболее вероятным вариантом. так? в любом случае, узнал много полезного, спасибо. |
| Автор: marykone 24.11.2008, 17:37 | ||
в любом случае необходимо проверить вариант redona а потом другие вариантов много что может быть. еще вариант hp opptiView он к примеру мониторит возможно автоматом блочит + скрипты со сниферами в связке. |
| Автор: marykone 24.11.2008, 18:14 |
| вот погуглил нашел arpwatch мониторит смену мака http://www.opennet.ru/base/net/sflow_8021x.txt.html |
| Автор: skyboy 24.11.2008, 22:15 | ||
marykone, спасибо, познавательная статья.
у меня нет физической возможности, у человека, который рассказал про эту ситуацию - возможности. да, и меня интересовал не обход защиты, а теория. спасибо marykone и redona. |
| Автор: redona 25.11.2008, 10:00 | ||||
на практике ни разу не встречал.
это полохо, хотя ipconfig можно и по аське скинуть или ммс-кой по телефону. |
| Автор: skyboy 25.11.2008, 10:54 | ||
описка. у рассказчика желания нет на самом деле  так что ограничусь теорией, не буду настаивать. |
