Svi znaju da je ovih šest bajtova, obično prikazanih u heksadecimalnom formatu, tvornički dodijeljeno mrežnoj kartici i naizgled nasumično. Neki ljudi znaju da su prva tri bajta adrese ID proizvođača, a preostala tri bajta su im dodijeljena. Takođe je poznato da možete sami postaviti proizvoljni adresa. Mnogi ljudi su čuli za „slučajne adrese“ u Wi-Fi-ju.
Hajde da shvatimo šta je to.
MAC adresa (adresa za kontrolu pristupa medijima) je jedinstveni identifikator koji se dodjeljuje mrežnom adapteru, koji se koristi u mrežama IEEE 802 standarda, uglavnom Ethernet, Wi-Fi i Bluetooth. Zvanično se zove "EUI-48 identifikator tipa". Iz naziva se vidi da je adresa duga 48 bita, tj. 6 bajtova. Ne postoji opšte prihvaćen standard za pisanje adrese (za razliku od IPv4 adrese, gde su okteti uvek razdvojeni tačkama, obično se piše kao šest heksadecimalnih brojeva odvojenih dvotačkom: 00:AB:CD:EF:11:). 22, iako neki proizvođači opreme preferiraju oznaku 00 -AB-CD-EF-11-22, pa čak i 00ab.cdef.1122.
Historijski gledano, adrese su bile programirane u ROM čipseta mrežne kartice i nisu se mogle mijenjati bez fleš programatora, ali danas se adresa može programski promijeniti iz operativnog sistema. Možete ručno postaviti MAC adresu mrežne kartice u Linux i MacOS (uvijek), Windows (skoro uvijek, ako vozač dozvoli), Android (samo root-ovan); sa iOS-om (bez root-a) takav trik nije moguć.
Struktura adrese
Adresa se sastoji od dijela identifikatora proizvođača, OUI, i identifikatora koji je dodijelio proizvođač. Dodjela OUI (Organizationally Unique Identifier) identifikatora IEEE organizacija. Zapravo, njegova dužina može biti ne samo 3 bajta (24 bita), već 28 ili 36 bita, od kojih blokovi (MAC Address Block, MA) adresa tipa Large (MA-L), Medium (MA-M) i Male se formiraju (MA-S) respektivno. Veličina izdanog bloka će u ovom slučaju biti 24, 20, 12 bita ili 16 miliona, 1 milion, 4 hiljade adresa. Trenutno je distribuirano oko 38 hiljada blokova, koji se mogu pogledati pomoću brojnih online alata, na primjer ili .
Ko je vlasnik adresa?
Jednostavna obrada javno dostupnih IEEE pruža dosta informacija. Na primjer, neke organizacije su uzele mnogo OUI blokova za sebe. Evo naših heroja:
Vendor
Broj blokova/zapisa
Broj adresa, milion
Cisco Systems Inc
888
14208
jabuka
772
12352
Samsung
636
10144
Huawei Technologies Co.Ltd
606
9696
Intel Corporation
375
5776
ARRIS Group Inc.
319
5104
Nokia Corporation
241
3856
privatan
232
2704
Texas Instruments
212
3392
zte corporation
198
3168
IEEE Registration Authority
194
3072
Hewlett Packard
149
2384
Hon Hai Precision
136
2176
TP-LINK
134
2144
Dell Inc.
123
1968
Juniper Networks
110
1760
Sagemcom Broadband SAS
97
1552
Fiberhome Telecommunication Technologies Co. LTD
97
1552
Xiaomi Communications Co Ltd
88
1408
Guangdong Oppo Mobile Telecommunications Corp.Ltd
82
1312
Google ih ima samo 40, i to nije iznenađujuće: oni sami ne proizvode mnogo mrežnih uređaja.
MA blokovi nisu besplatni, mogu se kupiti po razumnoj cijeni (bez pretplate) za 3000, 1800 ili 755 dolara, respektivno. Zanimljivo je da za dodatni novac (godišnje) možete kupiti „skrivanje“ javnih informacija o dodijeljenom bloku. Sada ih ima 232, kao što se može vidjeti gore.
Kada će nam ponestati MAC adresa?
Svi smo prilično umorni od priča koje se vode već 10 godina da će “IPv4 adrese uskoro ponestati”. Da, nove IPv4 blokove više nije lako nabaviti. Poznato je da IP adrese ; Međutim, postoje gigantski i nedovoljno iskorišteni blokovi u vlasništvu velikih korporacija i vladinih agencija SAD-a, s malo nade da će se preraspodijeliti onima kojima je potrebna. Proliferacija NAT-a, CG-NAT-a i IPv6 učinila je problem nedostatka javnih adresa manje akutnim.
MAC adresa ima 48 bita, od kojih se 46 može smatrati „korisnim“ (zašto? čitajte dalje), što daje 246 ili 1014 adresa, što je 214 puta više od IPv4 adresnog prostora.
Trenutno je distribuirano otprilike pola triliona adresa, ili samo 0.73% od ukupnog obima. Još uvijek smo jako, jako daleko od toga da ostanemo bez MAC adresa.
Bitovi slučajnosti
Može se pretpostaviti da su OUI-ji raspoređeni nasumično, a dobavljač tada također nasumično dodjeljuje adrese pojedinačnim mrežnim uređajima. je li tako? Pogledajmo distribuciju bitova u bazama podataka MAC adresa 802.11 uređaja kojima raspolažem, prikupljenih od strane sistema autorizacije koji rade u bežičnim mrežama . Adrese pripadaju stvarnim uređajima koji su se povezivali na Wi-Fi tokom nekoliko godina u tri zemlje. Pored toga, postoji i mala baza podataka 802.3 žičanih LAN uređaja.
Hajde da razbijemo svaku MAC adresu (šest bajtova) svakog uzorka na bitove, bajt po bajt, i pogledamo učestalost pojavljivanja bita “1” na svakoj od 48 pozicija. Ako je bit postavljen na potpuno proizvoljan način, tada bi vjerovatnoća dobijanja "1" trebala biti 50%.
Wi-Fi izbor br. 1 (RF)
Wi-Fi uzorak br. 2 (Bjelorusija)
Wi-Fi izbor br. 3 (Uzbekistan)
LAN uzorkovanje (RF)
Broj zapisa u bazi podataka
5929000
1274000
366000
1000
Broj bita:
% bit "1"
% bit "1"
% bit "1"
% bit "1"
1
48.6%
49.2%
50.7%
28.7%
2
44.8%
49.1%
47.7%
30.7%
3
46.7%
48.3%
46.8%
35.8%
4
48.0%
48.6%
49.8%
37.1%
5
45.7%
46.9%
47.0%
32.3%
6
46.6%
46.7%
47.8%
27.1%
7
0.3%
0.3%
0.2%
0.7%
8
0.0%
0.0%
0.0%
0.0%
9
48.1%
50.6%
49.4%
38.1%
10
49.1%
50.2%
47.4%
42.7%
11
50.8%
50.0%
50.6%
42.9%
12
49.0%
48.4%
48.2%
53.7%
13
47.6%
47.0%
46.3%
48.5%
14
47.5%
47.4%
51.7%
46.8%
15
48.3%
47.5%
48.7%
46.1%
16
50.6%
50.4%
51.2%
45.3%
17
49.4%
50.4%
54.3%
38.2%
18
49.8%
50.5%
51.5%
51.9%
19
51.6%
53.3%
53.9%
42.6%
20
46.6%
46.1%
45.5%
48.4%
21
51.7%
52.9%
47.7%
48.9%
22
49.2%
49.6%
41.6%
49.8%
23
51.2%
50.9%
47.0%
41.9%
24
49.5%
50.2%
50.1%
47.5%
25
47.1%
47.3%
47.7%
44.2%
26
48.6%
48.6%
49.2%
43.9%
27
49.8%
49.0%
49.7%
48.9%
28
49.3%
49.3%
49.7%
55.1%
29
49.5%
49.4%
49.8%
49.8%
30
49.8%
49.8%
49.7%
52.1%
31
49.5%
49.7%
49.6%
46.6%
32
49.4%
49.7%
49.5%
47.5%
33
49.4%
49.8%
49.7%
48.3%
34
49.7%
50.0%
49.6%
44.9%
35
49.9%
50.0%
50.0%
50.6%
36
49.9%
49.9%
49.8%
49.1%
37
49.8%
50.0%
49.9%
51.4%
38
50.0%
50.0%
49.8%
51.8%
39
49.9%
50.0%
49.9%
55.7%
40
50.0%
50.0%
50.0%
49.5%
41
49.9%
50.0%
49.9%
52.2%
42
50.0%
50.0%
50.0%
53.9%
43
50.1%
50.0%
50.3%
56.1%
44
50.1%
50.0%
50.1%
45.8%
45
50.0%
50.0%
50.1%
50.1%
46
50.0%
50.0%
50.1%
49.5%
47
49.2%
49.4%
49.7%
45.2%
48
49.9%
50.1%
50.7%
54.6%
Zašto takva nepravda u 7 i 8 bita? Gotovo uvijek postoje nule.
Zaista, standard definira ove bitove kao posebne ():
Osmi (od početka) bit prvog bajta MAC adrese naziva se Unicast/Multicast bit i određuje koji tip okvira (frame) se prenosi sa ovom adresom, regular (0) ili broadcast (1) (multicast ili emitovanje). Za normalnu, jednostruku komunikaciju mrežnog adaptera, ovaj bit je postavljen na “0” u svim paketima koji su mu poslati.
Sedmi (od početka) bit prvog bajta MAC adrese naziva se U/L (univerzalni/lokalni) bit i određuje da li je adresa globalno jedinstvena (0) ili lokalno jedinstvena (1). Podrazumevano, sve "proizvođački spojene" adrese su globalno jedinstvene, tako da velika većina prikupljenih MAC adresa sadrži sedmi bit postavljen na "0". U tabeli dodijeljenih OUI identifikatora, samo oko 130 unosa ima U/L bit „1“, a očito se radi o blokovima MAC adresa za posebne potrebe.
Od šestog do prvog bita prvog bajta, bitovi drugog i trećeg bajta u OUI identifikatorima, a još više bitovi u 4-6 bajtova adrese koju je dodijelio proizvođač, raspoređeni su manje-više ravnomjerno .
Dakle, u stvarnoj MAC adresi mrežnog adaptera, bitovi su zapravo ekvivalentni i nemaju nikakvo tehnološko značenje, sa izuzetkom dva servisna bita visokog bajta.
Prevalencija
Pitate se koji su proizvođači bežične opreme najpopularniji? Kombinirajmo pretragu u OUI bazi podataka sa podacima iz uzorka br. 1.
Vendor
Udio uređaja, %
jabuka
26,09
Samsung
19,79
Huawei Technologies Co. doo
7,80
Xiaomi Communications Co Ltd
6,83
Sony Mobile Communications Inc
3,29
LG Electronics (mobilne komunikacije)
2,76
ASUSTek COMPUTER INC.
2,58
TCT mobile doo
2,13
zte corporation
2,00
nije pronađen u IEEE bazi podataka
1,92
Lenovo Mobile Communication Technology Ltd.
1,71
HTC Corporation
1,68
Murata Manufacturing
1,31
InPro Comm
1,26
Microsoft Corporation
1,11
Shenzhen TINNO Mobile Technology Corp.
1,02
Motorola (Wuhan) Mobility Technologies Communication Co. doo
0,93
Nokia Corporation
0,88
Shanghai Wind Technologies Co. doo
0,74
Lenovo Mobile Communication (Wuhan) Company Limited
0,71
Praksa pokazuje da što je prosperitetniji kontingent pretplatnika bežične mreže na određenoj lokaciji, to je veći udio Apple uređaja.
Jedinstvenost
Jesu li MAC adrese jedinstvene? U teoriji, da, budući da je svaki proizvođač uređaja (vlasnik MA bloka) dužan dati jedinstvenu adresu za svaki mrežni adapter koji proizvodi. Međutim, neki proizvođači čipova, odnosno:
- 00:0A:F5 Airgo Networks, Inc. (sada Qualcomm)
- 00:08:22 InPro Comm (sada MediaTek)
postavite posljednja tri bajta MAC adrese na nasumični broj, očigledno nakon svakog ponovnog pokretanja uređaja. U mom uzorku broj 1 bilo je 82 hiljade takvih adresa.
Možete, naravno, sebi postaviti stranu, nejedinstvenu adresu tako što ćete je namjerno postaviti „kao susjedu“, identificirati je njuškalom ili je nasumično odabrati. Također je moguće slučajno postaviti sebi nejedinstvenu adresu, na primjer, vraćanjem rezervne konfiguracije rutera kao što je Mikrotik ili OpenWrt.
Šta će se dogoditi ako na mreži postoje dva uređaja sa istom MAC adresom? Sve ovisi o logici mrežne opreme (žični ruter, bežični mrežni kontroler). Najvjerovatnije oba uređaja ili neće raditi ili će raditi s prekidima. Sa stanovišta IEEE standarda, predlaže se da se zaštita od lažiranja MAC adrese riješi korištenjem, na primjer, MACsec ili 802.1X.
Šta ako instalirate MAC sa sedmim ili osmim bitom postavljenim na “1”, tj. lokalna ili multicast adresa? Najvjerovatnije vaša mreža neće obratiti pažnju na to, ali formalno takva adresa neće biti u skladu sa standardom, pa je bolje da to ne činite.
Kako randomizacija funkcionira
Znamo da u cilju sprečavanja praćenja kretanja ljudi skeniranjem i prikupljanjem talasa, MAC operativni sistemi pametnih telefona već nekoliko godina koriste tehnologiju randomizacije. Teoretski, kada skenira eter u potrazi za poznatim mrežama, pametni telefon šalje paket (grupu paketa) tipa 802.11 sonde sa MAC adresom kao izvorom:
Omogućena randomizacija vam omogućava da navedete ne „prošivenu“ adresu, već neku drugu adresu izvora paketa, koja se mijenja sa svakim ciklusom skeniranja, tokom vremena ili na neki drugi način. Da li radi? Pogledajmo statistiku MAC adresa prikupljenu iz zraka takozvanim “Wi-Fi radarom”:
Cijeli uzorak
Uzorak samo sa nula 7. bita
Broj zapisa u bazi podataka
3920000
305000
Broj bita:
% bit "1"
% bit "1"
1
66.1%
43.3%
2
66.5%
43.4%
3
31.7%
43.8%
4
66.6%
46.4%
5
66.7%
45.7%
6
31.9%
46.4%
7
92.2%
0.0%
8
0.0%
0.0%
9
67.2%
47.5%
10
32.3%
45.6%
11
66.9%
45.3%
12
32.3%
46.8%
13
32.6%
50.1%
14
33.0%
56.1%
15
32.5%
45.0%
16
67.2%
48.3%
17
33.2%
56.9%
18
33.3%
56.8%
19
33.3%
56.3%
20
66.8%
43.2%
21
67.0%
46.4%
22
32.6%
50.1%
23
32.9%
51.2%
24
67.6%
52.2%
25
49.8%
47.8%
26
50.0%
50.0%
27
50.0%
50.2%
28
50.0%
49.8%
29
50.0%
49.4%
30
50.0%
50.0%
31
50.0%
49.7%
32
50.0%
49.9%
33
50.0%
49.7%
34
50.0%
49.6%
35
50.0%
50.1%
36
50.0%
49.5%
37
50.0%
49.9%
38
50.0%
49.8%
39
50.0%
49.9%
40
50.0%
50.1%
41
50.0%
50.2%
42
50.0%
50.2%
43
50.0%
50.1%
44
50.0%
50.1%
45
50.0%
50.0%
46
50.0%
49.8%
47
50.0%
49.8%
48
50.1%
50.9%
Slika je potpuno drugačija.
8. bit prvog bajta MAC adrese i dalje odgovara Unicast prirodi SRC adrese u paketu zahtjeva za ispitivanje.
Sedmi bit je postavljen na Lokalno u 7% slučajeva, tj. Sa priličnim stepenom samopouzdanja, možemo pretpostaviti da je tačno toliko prikupljenih adresa randomizirano, a manje od 92.2% je stvarno. U ovom slučaju, distribucija bitova u OUI za takve stvarne adrese približno se poklapa sa podacima u prethodnoj tabeli.
Koji proizvođač, prema OUI, posjeduje randomizirane adrese (tj. sa 7. bitom u "1")?
Proizvođač OUI
Podijelite na svim adresama
nije pronađen u IEEE bazi podataka
62.45%
Google Inc.
37.54%
odmoriti se
0.01%
Štaviše, sve randomizirane adrese dodijeljene Google-u pripadaju istom OUI-ju sa prefiksom DA:A1:19. Šta je ovo prefiks? Pogledajmo unutra .
private static final MacAddress BASE_GOOGLE_MAC = MacAddress.fromString("da:a1:19:0:0:0");Standardni Android koristi poseban, registrovani OUI za traženje bežičnih mreža, jedan od rijetkih sa postavljenim sedmim bitom.
Izračunajte pravi MAC od slučajnog
da vidimo tamo:
private static final long VALID_LONG_MASK = (1L << 48) - 1;
private static final long LOCALLY_ASSIGNED_MASK = MacAddress.fromString("2:0:0:0:0:0").mAddr;
private static final long MULTICAST_MASK = MacAddress.fromString("1:0:0:0:0:0").mAddr;
public static @NonNull MacAddress createRandomUnicastAddress(MacAddress base, Random r) {
long addr;
if (base == null) {
addr = r.nextLong() & VALID_LONG_MASK;
} else {
addr = (base.mAddr & OUI_MASK) | (NIC_MASK & r.nextLong());
}
addr |= LOCALLY_ASSIGNED_MASK;
addr &= ~MULTICAST_MASK;
MacAddress mac = new MacAddress(addr);
if (mac.equals(DEFAULT_MAC_ADDRESS)) {
return createRandomUnicastAddress(base, r);
}
return mac;
}
Cijela adresa, ili njena donja tri bajta, je čista Random.nextLong()"Patentirana restauracija pravog MAC-a" je prevara. Sa visokim stepenom sigurnosti se može očekivati da će proizvođači AndroidDrugi, neregistrovani OUI-ji se također koriste u telefonima. Nemamo izvorni kod iOS-a, ali je vjerovatno da se tamo koristi sličan algoritam.
Navedeno ne poništava rad drugih mehanizama za deanonimizaciju Wi-Fi pretplatnika, na osnovu analize drugih polja okvira zahtjeva za ispitivanje, odnosno korelacije relativne učestalosti zahtjeva koje šalje uređaj. Međutim, pouzdano praćenje pretplatnika korištenjem eksternih sredstava je izuzetno problematično. Prikupljeni podaci bit će prikladniji za analizu prosječnog/vršnog opterećenja po lokaciji i vremenu, na osnovu velikih brojeva, bez pozivanja na određene uređaje i ljude. Tačne podatke imaju samo oni „unutrašnji“, sami proizvođači mobilnih OS-a i instalirane aplikacije.
Šta je opasno u tome što neko sazna MAC adresu vašeg uređaja? Napad uskraćivanja usluge (DOS) može se pokrenuti i na žičnim i na bežičnim mrežama. Za bežični uređaj postoji i mogućnost da se otkrije njegovo prisustvo na lokaciji senzora. Lažno predstavljanje adrese može se koristiti za lažno predstavljanje vašeg uređaja, ali to će funkcionirati samo ako nisu na snazi dodatne sigurnosne mjere (autorizacija i/ili šifriranje). 99.9% Ljudi ovdje nemaju razloga za brigu.
MAC adresa je složenija nego što se čini, ali jednostavnija nego što bi mogla biti.
izvor: www.habr.com
