Назад | Перейти на главную страницу

Как настройка MAC на интерфейсе влияет на возможность передачи кадров?

Мне сказали, что интерфейс может передавать кадр независимо от того, что ОС установила для MAC интерфейса. У меня также сложилось впечатление, что именно так делают виртуальные машины. хост-мост. Если это так, то что использует привязанный к интерфейсам MAC-адрес?

В частности, я спрашиваю о программном MAC, а не о MAc, которые были записаны в ПЗУ в 70-х годах:

wlan0     Link encap:Ethernet  HWaddr 00:16:ce:01:

Это строка вывода из ifconfig, но мне сказали, что интерфейс wlan0 может передавать под / any / MAC-адресом, и этот MAC, который я вижу, вообще ничего не делает (кроме, возможно, предоставления значения по умолчанию для некоторых библиотек). Мне сказали, что с помощью моста хоста виртуальной машины он будет использовать это и передавать на произвольное количество IP-адресов, но это не останавливается на достигнутом, точка доступа фактически разрешит вам назначить уникальный IP-адрес каждому из этих ВМ, потому что точка доступа будет получать запросы на разных MAC.

  1. Есть ли у вас какие-то особые разрешения (linux) для создания пакета с «виртуального» MAC-адреса.
  2. Если MAC-адрес - это то, как маршрутизатор отслеживает, какой интерфейс и какой хост имеет IP-адрес, то как остановить один хост от запроса всех IP-адресов на виртуальные интерфейсы?
  3. Как запретить пользователям использовать виртуальные MAC-адреса
  4. Требуется ли для этого специальная опция в ядре или часть, встроенная в сетевой стек?

MAC-адреса организованы и стандартизированы IEEE. Каждое устройство, которое подключается к сети Ethernet, имеет уникальный MAC-адрес, назначенный ему, таким образом, любые два устройства могут быть в одной сети и без проблем обмениваться данными. Это не означает, что ОС не может выбрать, какой MAC-адрес использовать, например, для мониторинга или подмены трафика. Много читать Вот

В ответ на вопросы ниже

  1. С правами root вы можете делать все, что хотите (в основном). Есть два способа отправить пакет с индивидуальным MAC-адресом: во-первых, изменение MAC-адреса на интерфейсе с помощью команды ifconfig, это повлияет на весь трафик в системе; Во-вторых, формировать пакеты самостоятельно и записывать их прямо в интерфейс с помощью специализированного кода. Например, Nmap использует этот метод, когда вы указываете ему сканировать порты с другим исходным MAC-адресом.
  2. (и 3) Вы этого не сделаете. Если злонамеренный хост был в вашей сети и решил захватить MAC-адреса, у вас могла возникнуть серьезная проблема. Это одна из причин, почему важны безопасность вашей локальной сети и жесткие политики контроля доступа. В моей компании настольные коммутаторы LAN настроены таким образом, что каждый порт запоминает MAC-адрес компьютера, который к нему подключен, и если этот адрес изменяется, порт отключается, а также все порты, которые не используются, отключаются. Эта политика была реализована после того, как ночной сотрудник службы безопасности попытался подключить свой ноутбук, который был настроен со статическим IP-адресом, таким же, как у одного из наших серверов, и вызвал множество проблем. Ограничив каждый порт одним MAC-адресом, мы теперь можем предотвратить (в основном) это. Только если бы кто-то знал, что нужно изменить свой MAC-адрес на адрес уже подключенного компьютера, он смог бы войти в нашу сеть, это маловероятно. Кроме того, что касается запроса всех IP-адресов для всех MAC-адресов, ваш коммутатор постоянно обновляет свою таблицу MAC-адресов, поэтому, как только действующий хост отправит новый пакет, таблица будет обновляться с правильным портом. Если бы злоумышленник постоянно отравлял сеть искаженными пакетами, вы бы мало что могли сделать.