Можливий повтор MAC-адреси в тій самій локальній мережі?


18

Скажімо, хтось у тій же мережі, що і я, і підробляє свою MAC-адресу, щоб вона відповідала моїй:

  1. Чи можливо це? Чи можуть два або більше клієнтів з однаковою MAC-адресою одночасно перебувати в одній мережі та залишатися постійно зв’язаними?
  2. Коли це станеться, чи закінчуся я знецінюватися та вимикаю мережу, якщо дублюючі MAC-адреси не дозволено в одній мережі?
  3. Якщо дозволені повторювані MAC-адреси, з якою поведінкою я можу зіткнутися? Зіткнення, умови перегонів тощо?

Відповіді:


23

Можливо, для двох господарів є однаковий MAC через підробку, помилку під час виготовлення або навмисну ​​недбалість з боку виробника. Так,

1) Загалом, комутатор Ethernet зберігає таблицю, до якої порти приєднані MAC-адреси. Вона заснована на цій таблиці на адресі джерела кадрів, яку вона отримує під час нормальної роботи мережі. Отримавши будь-який кадр, вихідний MAC-код зчитується та порівнюється з поточною таблицею комутації, а потім додається поряд із тим, який порт перемикання він отримав.

Отже, якщо є два хости, обидва з однаковою MAC-адресою, то комутатор оновлюватиме свою таблицю MAC кожен раз, коли отримує кадр від будь-якого хоста. Доступність будь-якого хоста буде вимикатись та вимикатись та буде непослідовною.

2) Коротка відповідь: ні. Дублікатні MAC-адреси не спричинять жодної проблеми безпеки в некерованому комутаторі (комутатор без програмного забезпечення для налаштування) або керованому комутаторі (як і більшість Cisco / HP / Junipers), який не був налаштований для безпеки порту. Керовані комутатори видадуть вам попередження, надруковане в консольному терміналі, якщо вони виявлять дублікат MAC (MAC, який "існує" на декількох комутаційних портах), але за замовчуванням вони нічого не робитимуть AFAIK.

Якщо ви хочете використовувати параметри безпеки порту на керованому комутаторі, ви можете робити такі речі, як лише дозволити 1 MAC-адресу на комутаційний порт. MAC-адреса буде динамічно засвоюватися комутатором (як і зазвичай вона вчиться MAC), але різниця полягає в тому, що як тільки вона буде вивчена, вона буде пов'язана з цим комутаційним транспортом. Потім, якщо комутатор отримує кадри з дублікату MAC на іншому порту комутації , він може перевести цей порт у відключений стан (вимкнути його)

У своєму запитанні ви згадали про деаутентифікацію. Особливість безпеки порту деяких комутаторів відрізняється від "деаутентифікації" - це деавторизація. Вони схожі, але різниця важлива; шукати автентифікацію проти авторизації.

3) Дублюючі MAC не спричинять зіткнень. Зіткнення - результат спільної електричної шини. Це скоріше стан перегонів, хоча я раніше не чув, щоб про нього так говорилося. Пам'ятайте, що копії MAC "дозволені", що стосується будь-якого нестандартного Ethernet комутатора - вони просто спричиняють проблему, яка перерве мережне підключення до кожного питання, про який йде мова. Проблема полягає в постійно мінливій таблиці комутації.


3
До речі, багато багатьох постачальників Unix / Linux / VMware дозволяють змінювати / змінювати MAC-адресу ваших плат Ethernet. Тож це може бути не рідкісною подією, якщо трапляється копіювати конфігурації з однієї системи в іншу. Саме так сталося зі мною.
mdpc

Це звучить як можливий спосіб атакувати хоста (наприклад, шлюз за замовчуванням). Навіть якщо включена динамічна перевірка ARP, комутатор все одно побачить вашу MAC-адресу у повідомленні виявлення DHCP. Ми використовуємо 802.1X, тому не можемо одночасно увімкнути захист портів. У цій ситуації я думаю, що єдиний спосіб захиститись від цього - використовувати статичні записи в DAI.
Brain2000

@mdpc - Windows / OS також можуть перекрити MAC в програмному забезпеченні.
Les

7

Відповіді на ваше запитання:

  1. ТАК це можливо, і НІ у вас не буде постійного контакту.

  2. Ви можете ... адміністратор може побачити проблему та відключити порти на комутаторі.

  3. Я зіткнувся з двома системами з однаковою MAC-адресою, підключеними до одного комутатора, і я помітив, що мережа працюватиме з системою ОСТАННІ для надсилання вибраних пакетів Ethernet. Так було, коли одна система працювала, а інша не робила ... дуже цікаво і неприємно для мене, поки хлопець з мережі не вказав на проблему.


0

Ви можете імітувати дві машини з одним MAC, встановивши ОС під VMware, а потім клонувавши VM. Коли ви клонуєте його, MAC-адреса зберігається. Я не думаю, що ви можете встановити MAC для VM таким же, як для фізичної машини, VMware обмежує його певним діапазоном, який не повинен стикатися.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.