10代の息子と私はハッキングゲームをしています。ペアレンタルコントロール、MACフィルタリング、VPNなどを備えたWiFiルーターをインストールしました。息子のインターネットをブロックすると、息子はケージから脱出しようとします(今のところ、私自身が突破方法を知っている方法でのみブロックしています)。
結局、MACフィルタリングを使う時が来た。数日後、彼はMACスプーフィングのやり方を思いついた。問題は、私のルーターには接続されたデバイスごとに「デバイス情報」ページがあり、それがどういうわけか知っているこれが起こったことを示しています。同じエントリの下にある攻撃者のデバイスと、その攻撃者から知られているすべての MAC アドレスが表示されます。出力は次のとおりです (アドレスは例のみです)。
Name: Attacker's Computer
Manufacturer:
Model:
OS: Windows
IP Address (Wireless)-1: 192.168.1.175
IPv6 Address (Wireless)-1: --
MAC Address: 00:11:22:33:44:55
IP Address (Offline)-2: --
IPv6 Address (Offline)-2: --
MAC Address: 11:22:33:44:55:66
IP Address (Offline)-3: --
IPv6 Address (Offline)-3: --
MAC Address: 22:33:44:55:66:77
アドレス 00:11:22:33:44:55 および 11:22:33:44:55:66 は偽装されています。製造元のアドレスは 22:33:44:55:66:77 です。
ルータはどのようにしてこれを知るのでしょうか? トラフィックが古い MAC を使用していた同じコンピュータから来ていることを検出するために、どのプロトコル機能を使用しているのでしょうか? 参考になれば幸いですが、問題のルータは Linksys WRT1200AC です。
答え1
おそらく彼は MAC を偽装したが、新しい MAC を使用して IP を変更しなかったため、ステータス画面に両方が一緒に表示されます。
アクセスを本当に制限したい場合は、プロキシをインストールする必要があります。プロキシがインターネットにアクセスできる唯一のマシンである場合は、プロキシを強制的に使用します。プロキシでは、ユーザーごとにホワイトリスト、ブラックリスト、および時間帯制限を使用して、ユーザーごとの認証を行うことができます。
他のオプションとしては、すべての MAC アドレスをブラックリストに登録し、インターネット アクセスを許可するアドレスをホワイトリストに登録する方法があります。
答え2
スプーフィングされたワイヤレス MAC アドレスを検出する方法は多数あります。その 1 つは、クライアントの信号強度を使用することです。これは、固定クライアントの場合に効果的に機能します。
もう 1 つの方法は、クライアントのトランシーバーの物理的特性を比較することです。
... 物理層情報は無線特性と物理環境に固有のものであるため、偽造がはるかに困難であり、デバイスを区別するために使用できます。Hall らは、無線周波数 (RF) 信号の過渡部分の周波数領域パターンを指紋として使用して、トランシーバーを一意に識別します。 ソース
引用元には、MAC スプーフィング検出に関する詳細情報も含まれています。