Mein jugendlicher Sohn und ich spielen ein Hacking-Spiel. Ich habe einen WLAN-Router mit Kindersicherung, MAC-Filter, VPN usw. installiert. Ich blockiere das Internet für ihn, er versucht, aus dem Käfig auszubrechen (im Moment blockiere ich nur auf eine Weise, von der ich selbst weiß, wie man sie durchbricht).
Schließlich war es Zeit, MAC-Filterung zu verwenden. Nach einigen Tagen fand er heraus, wie man MAC-Spoofing macht. Die Sache ist, mein Router hat eine Seite mit „Geräteinformationen“ für jedes angeschlossene Gerät, und irgendwieweißdass dies passiert ist. Es zeigt das Angreifergerät unter demselben Eintrag und alle bekannten MAC-Adressen dieses Angreifers. Hier ist die Ausgabe (Adressen sind nur Beispiele):
Name: Attacker's Computer
Manufacturer:
Model:
OS: Windows
IP Address (Wireless)-1: 192.168.1.175
IPv6 Address (Wireless)-1: --
MAC Address: 00:11:22:33:44:55
IP Address (Offline)-2: --
IPv6 Address (Offline)-2: --
MAC Address: 11:22:33:44:55:66
IP Address (Offline)-3: --
IPv6 Address (Offline)-3: --
MAC Address: 22:33:44:55:66:77
Die Adressen 00:11:22:33:44:55 und 11:22:33:44:55:66 werden gefälscht. Die Herstelleradresse lautet 22:33:44:55:66:77.
Woher weiß mein Router das? Welche Protokollfunktion verwendet er, um zu erkennen, dass der Datenverkehr vom selben Computer stammt, der die alte MAC-Adresse verwendet hat? Falls das hilft: Bei dem betreffenden Router handelt es sich um einen Linksys WRT1200AC.
Antwort1
Wahrscheinlich hat er seine MAC-Adresse gefälscht, seine IP-Adresse jedoch nicht mit der neuen MAC-Adresse geändert, sodass beide Namen zusammen auf Ihrem Statusbildschirm angezeigt werden.
Wenn Sie den Zugriff wirklich beschränken möchten, müssen Sie möglicherweise einen Proxy installieren. Wenn der Proxy die einzige Maschine ist, die auf das Internet zugreifen kann, erzwingen Sie seine Verwendung. Der Proxy kann dann eine Authentifizierung pro Benutzer mit Whitelists, Blacklists und tageszeitlichen Beschränkungen pro Benutzer haben.
Ihre andere Möglichkeit besteht darin, ALLE MAC-Adressen auf die schwarze Liste zu setzen und dann diejenigen auf die weiße Liste zu setzen, denen Sie Internetzugriff gewähren möchten.
Antwort2
Es gibt viele Möglichkeiten, eine gefälschte drahtlose MAC-Adresse zu erkennen. Eine davon besteht darin, die Signalstärke der Clients zu verwenden. Dies funktioniert effektiv bei stationären Clients.
Eine andere Methode besteht darin, die physikalischen Eigenschaften des Transceivers des Clients zu vergleichen.
... Informationen der physikalischen Schicht sind den Funkeigenschaften und der physikalischen Umgebung inhärent, wodurch sie viel schwieriger zu fälschen sind und zur Unterscheidung von Geräten verwendet werden können. Hall et al. verwenden die Frequenzbereichsmuster des transienten Teils von Hochfrequenzsignalen (RF) als Fingerabdruck, um einen Transceiver eindeutig zu identifizieren. Quelle
Die Quelle des Zitats enthält auch einige weitere Informationen zur MAC-Spoofing-Erkennung.