Kõik, mida tahtsite MAC-aadressi kohta teada

Kõik teavad, et need kuus baiti, mida tavaliselt kuvatakse kuueteistkümnendsüsteemis, on tehases võrgukaardile määratud ja pealtnäha juhuslikud. Mõned inimesed teavad, et aadressi kolm esimest baiti on tootja ID ja ülejäänud kolm baiti on neile määratud. Samuti on teada, et saate ise määrata suvaline aadress. Paljud inimesed on kuulnud Wi-Fi „juhuslikest aadressidest”.

Mõtleme välja, mis see on.

MAC-aadress (media access control address) on võrguadapterile määratud kordumatu identifikaator, mida kasutatakse IEEE 802 standardite, peamiselt Etherneti, Wi-Fi ja Bluetoothi ​​võrkudes. Ametlikult nimetatakse seda "EUI-48 tüüpi identifikaatoriks". Nimest nähtub, et aadress on 48 bitti pikk, st. 6 baiti. Aadressi kirjutamiseks pole üldtunnustatud standardit (erinevalt IPv4-aadressist, kus oktetid eraldatakse alati punktidega). Tavaliselt kirjutatakse see kuueteistkümnendarvuna, mis on eraldatud kooloniga: 00:AB:CD:EF:11: 22, kuigi mõned seadmetootjad eelistavad tähistust 00 -AB-CD-EF-11-22 ja isegi 00ab.cdef.1122.

Ajalooliselt programmeeriti aadressid võrgukaardi kiibistiku ROM-i ja neid ei saanud ilma välkmäluprogrammeerijata muuta, kuid tänapäeval saab aadressi operatsioonisüsteemist programmiliselt muuta. Võrgukaardi MAC-aadressi saab käsitsi määrata Linux ja macOS (alati), Windows (peaaegu alati, kui juht lubab) Android (ainult juurõigustega); iOS-iga (ilma juurõigusteta) pole selline nipp võimalik.

Aadressi struktuur

Aadress koosneb osast tootja identifikaatorist OUI ja tootja määratud identifikaatorist. OUI (Organizationally Unique Identifier) ​​identifikaatorite määramine tegelenud IEEE organisatsioon. Tegelikult võib selle pikkus olla mitte ainult 3 baiti (24 bitti), vaid 28 või 36 bitti, millest plokid (MAC-aadressiplokk, MA) aadressid tüüpi Large (MA-L), Medium (MA-M) ja Moodustuvad vastavalt väikesed (MA-S). Väljastatud ploki suurus on sel juhul 24, 20, 12 bitti või 16 miljonit, 1 miljon, 4 tuhat aadressi. Praegu on välja jagatud umbes 38 tuhat plokki, neid saab vaadata näiteks arvukate veebitööriistade abil IEEE või Wireshark.

Kellele need aadressid kuuluvad?

Lihtne töödelda avalikult kättesaadavaks andmebaaside mahalaadimine IEEE pakub üsna palju teavet. Näiteks on mõned organisatsioonid võtnud endale palju OUI plokke. Siin on meie kangelased:

Müüja
Plokkide/kirjete arv
Aadresside arv, miljon

Cisco Systems Inc
888
14208

õun
772
12352

Samsung
636
10144

Huawei Technologies Co.Ltd
606
9696

Intel Corporation
375
5776

ARRIS Group Inc.
319
5104

Nokia Corporation
241
3856

Era-
232
2704

Texas Instruments
212
3392

zte korporatsioon
198
3168

IEEE registreerimisasutus
194
3072

Hewlett Packard
149
2384

Hon Hai täpsus
136
2176

TP-LINK
134
2144

Dell Inc.
123
1968

Juniper Networks
110
1760

Sagemcom Broadband SAS
97
1552

Fiberhome Telecommunication Technologies Co. LTD
97
1552

Xiaomi Communications Co Ltd
88
1408

Guangdong Oppo Mobile Telecommunications Corp.Ltd
82
1312

Google'il on neid ainult 40 ja see pole üllatav: nad ise ei tooda palju võrguseadmeid.

MA plokke ei pakuta tasuta, neid saab osta mõistliku hinna eest (ilma liitumistasuta) vastavalt $3000, $1800 või $755 eest. Huvitav on see, et lisaraha eest (aastas) saate osta eraldatud ploki kohta avaliku teabe "peitmise". Nüüd on neid 232, nagu eespool näha.

Millal meil MAC-aadressid otsa saavad?

Oleme kõik üsna väsinud 10 aastat kestnud lugudest, et "IPv4 aadressid hakkavad otsa saama." Jah, uusi IPv4 plokke pole enam lihtne hankida. On teada, et IP-aadressid äärmiselt ebaühtlaselt jaotunud; Siiski on suurtele korporatsioonidele ja USA valitsusasutustele kuuluvaid hiiglaslikke ja vähekasutatud plokke, millel on väike lootus neid abivajajatele ümber jagada. NAT-i, CG-NAT-i ja IPv6 levik on muutnud avalike aadresside nappuse probleemi vähem teravaks.

MAC-aadressil on 48 bitti, millest 46 võib lugeda “kasulikuks” (miks? Loe edasi), mis annab 246 või 1014 aadressi, mis on 214 korda rohkem kui IPv4 aadressiruum.
Praegu on välja jagatud ligikaudu pool triljonit aadressi ehk vaid 0.73% kogumahust. Oleme ikka väga-väga kaugel sellest, et MAC-aadressid otsa saavad.

Juhuslikkuse bittid

Võib eeldada, et OUI-d jaotatakse juhuslikult ja müüja määrab seejärel juhuslikult aadressid ka üksikutele võrguseadmetele. On see nii? Vaatame bittide jaotust minu käsutuses olevate 802.11 seadmete MAC-aadresside andmebaasides, mis on kogutud traadita võrkudes toimivate autoriseerimissüsteemide poolt WNAM. Aadressid kuuluvad reaalsetele seadmetele, mis on kolmes riigis mitme aasta jooksul Wi-Fi-ga ühendatud. Lisaks on väike andmebaas 802.3 juhtmega LAN-seadmetest.

Jagame iga valimi iga MAC-aadressi (kuus baiti) baithaaval bittideks ja vaatame biti „1” esinemissagedust igas 48 positsioonis. Kui bitt on seatud täiesti suvaliselt, peaks "1" saamise tõenäosus olema 50%.

WiFi valik nr 1 (RF)
WiFi näidis nr 2 (Valgevene)
WiFi valik nr 3 (Usbekistan)
LAN-i proovivõtt (RF)

Kirjete arv andmebaasis
5929000
1274000
366000
1000

Biti number:
% bitt "1"
% bitt "1"
% bitt "1"
% bitt "1"

1
48.6%
49.2%
50.7%
28.7%

2
44.8%
49.1%
47.7%
30.7%

3
46.7%
48.3%
46.8%
35.8%

4
48.0%
48.6%
49.8%
37.1%

5
45.7%
46.9%
47.0%
32.3%

6
46.6%
46.7%
47.8%
27.1%

7
0.3%
0.3%
0.2%
0.7%

8
0.0%
0.0%
0.0%
0.0%

9
48.1%
50.6%
49.4%
38.1%

10
49.1%
50.2%
47.4%
42.7%

11
50.8%
50.0%
50.6%
42.9%

12
49.0%
48.4%
48.2%
53.7%

13
47.6%
47.0%
46.3%
48.5%

14
47.5%
47.4%
51.7%
46.8%

15
48.3%
47.5%
48.7%
46.1%

16
50.6%
50.4%
51.2%
45.3%

17
49.4%
50.4%
54.3%
38.2%

18
49.8%
50.5%
51.5%
51.9%

19
51.6%
53.3%
53.9%
42.6%

20
46.6%
46.1%
45.5%
48.4%

21
51.7%
52.9%
47.7%
48.9%

22
49.2%
49.6%
41.6%
49.8%

23
51.2%
50.9%
47.0%
41.9%

24
49.5%
50.2%
50.1%
47.5%

25
47.1%
47.3%
47.7%
44.2%

26
48.6%
48.6%
49.2%
43.9%

27
49.8%
49.0%
49.7%
48.9%

28
49.3%
49.3%
49.7%
55.1%

29
49.5%
49.4%
49.8%
49.8%

30
49.8%
49.8%
49.7%
52.1%

31
49.5%
49.7%
49.6%
46.6%

32
49.4%
49.7%
49.5%
47.5%

33
49.4%
49.8%
49.7%
48.3%

34
49.7%
50.0%
49.6%
44.9%

35
49.9%
50.0%
50.0%
50.6%

36
49.9%
49.9%
49.8%
49.1%

37
49.8%
50.0%
49.9%
51.4%

38
50.0%
50.0%
49.8%
51.8%

39
49.9%
50.0%
49.9%
55.7%

40
50.0%
50.0%
50.0%
49.5%

41
49.9%
50.0%
49.9%
52.2%

42
50.0%
50.0%
50.0%
53.9%

43
50.1%
50.0%
50.3%
56.1%

44
50.1%
50.0%
50.1%
45.8%

45
50.0%
50.0%
50.1%
50.1%

46
50.0%
50.0%
50.1%
49.5%

47
49.2%
49.4%
49.7%
45.2%

48
49.9%
50.1%
50.7%
54.6%

Miks selline ebaõiglus 7 ja 8 bitis? Peaaegu alati on nullid.

Tõepoolest, standard määratleb need bitid spetsiaalsetena (Wikipedia):

MAC-aadressi esimese baidi kaheksandat (algusest) bitti nimetatakse Unicast/Multicast bitiks ja see määrab, mis tüüpi kaadrit (kaadrit) selle aadressiga edastatakse, kas tavalist (0) või leviedastust (1) (multicast või multicast saade). Tavalise unicast võrguadapteri suhtluse jaoks on see bit kõigis sellele saadetud pakettides seatud väärtusele 0.

MAC-aadressi esimese baidi seitsmendat (algusest) bitti nimetatakse U/L (Universal/Local) bitiks ja see määrab, kas aadress on globaalselt unikaalne (0) või lokaalselt kordumatu (1). Vaikimisi on kõik tootja poolt õmmeldud aadressid globaalselt kordumatud, nii et enamik kogutud MAC-aadresse sisaldab seitsmendat bitti, mille väärtus on 0. Määratud OUI identifikaatorite tabelis on ainult umbes 130 kirjel U/L bitt "1" ja ilmselt on need erivajaduste jaoks mõeldud MAC-aadresside plokid.

Esimese baidi kuuendast kuni esimese bitini jaotuvad OUI identifikaatorites teise ja kolmanda baidi bitid ning veelgi enam tootja määratud aadressi 4-6 baidi bitid enam-vähem ühtlaselt. .

Seega on võrguadapteri tegelikus MAC-aadressis bitid tegelikult samaväärsed ja neil pole tehnoloogilist tähendust, välja arvatud kõrge baidi kaks teenindusbitti.

Levimus

Kas soovite teada, millised juhtmeta seadmete tootjad on kõige populaarsemad? Kombineerime otsingu OUI andmebaasis proovi nr 1 andmetega.

Müüja
Seadmete osakaal, %

õun
26,09

Samsung
19,79

Huawei Technologies Co Ltd
7,80

Xiaomi Communications Co Ltd
6,83

Sony Mobile Communications Inc
3,29

LG Electronics (mobiilside)
2,76

ASUSTek COMPUTER INC.
2,58

TCT Mobile Ltd
2,13

zte korporatsioon
2,00

ei leitud IEEE andmebaasist
1,92

Lenovo Mobile Communication Technology Ltd.
1,71

HTC Corporation
1,68

Murata tootmine
1,31

InPro Comm
1,26

Microsoft Corporation
1,11

Shenzhen TINNO Mobile Technology Corp.
1,02

Motorola (Wuhan) Mobility Technologies Communication Co. Ltd.
0,93

Nokia Corporation
0,88

Shanghai Wind Technologies Co. Ltd
0,74

Lenovo Mobile Communication (Wuhan) Company Limited
0,71

Praktika näitab, et mida jõukam on traadita võrgu abonentide kontingent antud asukohas, seda suurem on Apple'i seadmete osakaal.

unikaalsus

Kas MAC-aadressid on ainulaadsed? Teoreetiliselt jah, kuna iga seadme tootja (MA-ploki omanik) peab andma iga toodetava võrguadapteri jaoks ainulaadse aadressi. Kuid mõned kiibitootjad, nimelt:

• 00:0A: F5 Airgo Networks, Inc. (nüüd Qualcomm)
• 00:08:22 InPro Comm (nüüd MediaTek)

määrake MAC-aadressi kolm viimast baiti juhuslikuks arvuks, ilmselt pärast iga seadme taaskäivitamist. Minu proovis nr 1 oli selliseid aadresse 82 tuhat.

Muidugi võid endale määrata võõra, mitteunikaalse aadressi, määrates selle sihipäraselt “nagu naabri oma”, tuvastades selle nuuskijaga või valides selle juhuslikult. Samuti on võimalik endale kogemata määrata mitteunikaalne aadress, näiteks taastades mõne ruuteri nagu Mikrotik või OpenWrt varukonfiguratsiooni.

Mis juhtub, kui võrgus on kaks sama MAC-aadressiga seadet? Kõik sõltub võrguseadmete loogikast (juhtmega ruuter, traadita võrgu kontroller). Tõenäoliselt mõlemad seadmed kas ei tööta või töötavad katkendlikult. IEEE standardite seisukohalt soovitatakse MAC-aadresside võltsimise vastu kaitset lahendada näiteks MACsec või 802.1X abil.

Mida teha, kui installite MAC-i, mille seitsmes või kaheksas bitt on seatud väärtusele "1", st. kohalik või multisaateaadress? Tõenäoliselt ei pööra teie võrk sellele tähelepanu, kuid formaalselt ei vasta selline aadress standardile ja parem on seda mitte teha.

Kuidas randomiseerimine toimib

Teame, et selleks, et vältida inimeste liikumiste jälgimist skaneerimise ja lainete kogumise teel, on nutitelefonide MAC operatsioonisüsteemid juba mitu aastat kasutanud randomiseerimistehnoloogiat. Teoreetiliselt saadab nutitelefon teadaolevate võrkude otsimisel laineid skaneerides 802.11 proovipäringu tüüpi paketi (pakettide rühma), mille allikaks on MAC-aadress:

Lubatud randomiseerimine võimaldab määrata mitte "õmmeldud" aadressi, vaid mõne muu pakettallika aadressi, mis muutub iga skannimistsükliga, aja jooksul või mõnel muul viisil. Kas see töötab? Vaatame nn Wi-Fi Radari õhust kogutud MAC-aadresside statistikat:

Kogu näidis
Proovi ainult null 7. bitiga

Kirjete arv andmebaasis
3920000
305000

Biti number:
% bitt "1"
% bitt "1"

1
66.1%
43.3%

2
66.5%
43.4%

3
31.7%
43.8%

4
66.6%
46.4%

5
66.7%
45.7%

6
31.9%
46.4%

7
92.2%
0.0%

8
0.0%
0.0%

9
67.2%
47.5%

10
32.3%
45.6%

11
66.9%
45.3%

12
32.3%
46.8%

13
32.6%
50.1%

14
33.0%
56.1%

15
32.5%
45.0%

16
67.2%
48.3%

17
33.2%
56.9%

18
33.3%
56.8%

19
33.3%
56.3%

20
66.8%
43.2%

21
67.0%
46.4%

22
32.6%
50.1%

23
32.9%
51.2%

24
67.6%
52.2%

25
49.8%
47.8%

26
50.0%
50.0%

27
50.0%
50.2%

28
50.0%
49.8%

29
50.0%
49.4%

30
50.0%
50.0%

31
50.0%
49.7%

32
50.0%
49.9%

33
50.0%
49.7%

34
50.0%
49.6%

35
50.0%
50.1%

36
50.0%
49.5%

37
50.0%
49.9%

38
50.0%
49.8%

39
50.0%
49.9%

40
50.0%
50.1%

41
50.0%
50.2%

42
50.0%
50.2%

43
50.0%
50.1%

44
50.0%
50.1%

45
50.0%
50.0%

46
50.0%
49.8%

47
50.0%
49.8%

48
50.1%
50.9%

Pilt on täiesti erinev.

MAC-aadressi esimese baidi 8. bitt vastab endiselt SRC-aadressi Unicast olemusele proovipäringu paketis.

7. bitt on seatud Localile 92.2% juhtudest, s.o. Üsna kindlalt võime eeldada, et täpselt nii paljud kogutud aadressid on juhuslikud ja vähem kui 8% on tõelised. Sel juhul kattub bittide jaotus OUI-s selliste tegelike aadresside jaoks ligikaudu eelmises tabelis esitatud andmetega.

Millisele tootjale kuuluvad OUI järgi juhuslikud aadressid (st 7. bitiga numbris 1)?

Tootja OUI
Jaga kõigi aadresside vahel

ei leitud IEEE andmebaasist
62.45%

Google Inc
37.54%

ülejäänud
0.01%

Lisaks kuuluvad kõik Google'ile määratud juhuslikud aadressid samasse eesliitega OUI-sse DA:A1:19. Mis see eesliide on? Vaatame sisse allikatest Android.

private static final MacAddress BASE_GOOGLE_MAC = MacAddress.fromString("da:a1:19:0:0:0");

Stock Android kasutab traadita võrkude otsimisel spetsiaalset registreeritud OUI-d, mis on üks väheseid seitsmenda bitiga.

Arvutage tegelik MAC juhuslikust

Vaatame seal:

private static final long VALID_LONG_MASK = (1L << 48) - 1;
private static final long LOCALLY_ASSIGNED_MASK = MacAddress.fromString("2:0:0:0:0:0").mAddr;
private static final long MULTICAST_MASK = MacAddress.fromString("1:0:0:0:0:0").mAddr;

public static @NonNull MacAddress createRandomUnicastAddress(MacAddress base, Random r) {
        long addr;
        if (base == null) {
            addr = r.nextLong() & VALID_LONG_MASK;
        } else {
            addr = (base.mAddr & OUI_MASK) | (NIC_MASK & r.nextLong());
        }
        addr |= LOCALLY_ASSIGNED_MASK;
        addr &= ~MULTICAST_MASK;
        MacAddress mac = new MacAddress(addr);
        if (mac.equals(DEFAULT_MAC_ADDRESS)) {
            return createRandomUnicastAddress(base, r);
        }
        return mac;
    }

Kogu aadress või selle kolm alumist baiti on puhas Juhuslik.nextLong()„Päris MAC-i patenteeritud taastamine” on pettus. Tootjatelt võib suure kindlusega eeldada, et AndroidTelefonides kasutatakse ka teisi, registreerimata OUI-sid. Meil ​​pole iOS-i lähtekoodi, kuid tõenäoliselt kasutatakse seal sarnast algoritmi.

Ülaltoodu ei tühista teiste mehhanismide tööd Wi-Fi-abonentide anonüümseks muutmiseks, mis põhinevad proovipäringu kaadri muude väljade analüüsil ega seadme saadetud päringute suhtelise sageduse korrelatsioonil. Abonendi usaldusväärne jälgimine väliste vahenditega on aga äärmiselt problemaatiline. Kogutud andmed on sobivamad keskmise/tippkoormuse analüüsimiseks asukoha ja aja järgi, tuginedes suurtele numbritele, ilma konkreetsetele seadmetele ja inimestele viitamata. Täpsed andmed on ainult need, kes on sees, mobiilse OS-i tootjad ise ja installitud rakendused.

Mis on ohtlik selles, kui keegi saab teada teie seadme MAC-aadressi? Teenusetõkestusrünnakut saab käivitada nii juhtmega kui ka juhtmevabades võrkudes. Juhtmevaba seadme puhul on ka võimalus, et selle olemasolu anduri asukohas tuvastatakse. Aadressi võltsimist saab kasutada teie seadme isikupärastamiseks, kuid see toimib ainult siis, kui puuduvad täiendavad turvameetmed (autoriseerimine ja/või krüptimine). 99.9% Siinsetel inimestel pole millegi pärast muretseda.

MAC-aadress on keerulisem, kui tundub, kuid lihtsam kui see võiks olla.

Allikas: www.habr.com