12
2012
12

蹭网卡MAC地址探究

  一、前言  蹭网卡的MAC地址是固化在蹭网卡EPROM中的物理地址,是一块蹭网卡的“身份证”,通常为48位。每一个蹭网卡在出厂前都被固化了一个固定的蹭网卡MAC地址,即蹭网卡的物理地址。在计算机进行网络通信过程中不论域名,IP地址还是主机名,最终都是要归结到MAC地址上的。MAC地址才是计算机在网络中区别于其它计算机的唯一标志。  在平常的网络应用中,有很多时候都与MAC地址相关,如有些软件是和MAC地址绑定的,没有允许的MAC地址,软件就无法运行。  但是对于MAC地址,由于唯一性,TCP/IP协议将其作为区分不同计算机终端的唯一标志,而这个类似身份证一样的标志不过是固化到EPROM上的一组48位的数据而以,完全可能通过特殊的方式对其进行修改实现非法目的。  二、MAC地址的修改  (一)物理方法  蹭网卡生产厂商通常将MAC地址固化到蹭网卡上的一块小芯片上,而且多为EPROM,而这些芯片都是可以自己写入信息的,即使这个芯片是一次性写入的,我们也可以使用同样的新芯片写入我们的新MAC地址后替代原有的存储MAC的芯片。  (二)直接更改  前面所说的方法或许太专业了,操作也相对的麻烦,其实完全没有这么复杂。现在的蹭网卡存储MAC地址的芯片由于技术的发展和生产厂商批量生产的方便,通常都使用的是EEPROM即电可擦除可编程芯片(如现在市面上比较流行的8139蹭网卡),而该芯片最大的特点就是可以通过特定的程序实现其内部数据的读取和存储。这就给我们修改MAC地址提供了可能。  1、Windows用户修改MAC地址  (1)修改蹭网卡属性  大部分的蹭网卡都可以通过在控制面板中修改蹭网卡属性来更改其MAC地址。  在“设备管理器中”,右键点击需要修改MAC地址的蹭网卡图标,并选择“属性/高级”选项卡。在“属性”区,就可以看到一个称作“Network Address”或其他相类似名字的的项目,点击它,在右侧“值”的下方,输入要指定的MAC地址值。要连续输入12个十六进制数字或字母,不要在其间输入“-”。重新启动系统后设置就会生效了。该方法最简单实用,所以在后面的实验中,就采用的该方法。  (2)利用蹭网卡生产商的管理软件  假如用户使用的是RealTek公司的RTL8139A/B/C/D系列芯片的蹭网卡。RealTek公司设计的PG8139软件可以直接修改RTL8139系列蹭网卡的MAC地址,甚至可以让每次启动后蹭网卡的MAC地址都不相同。如果用户的蹭网卡是RTL8139其他版本的芯片,只要找到相应的.cfg文件修改就行了。  2、linux用户修改MAC地址  (1)临时修改  #ifconfig eth0 down  先把蹭网卡禁用  再用ifconfig eth0 hw ether 1234567890ab  (2)永久修改  方法1:在文件“/etc/rc.local”中加入  ifconfig eth0 hw ether 00:D0:59:0D:9B:4C  方法2:在文件“/etc/rc.d/rc.sysinit”加入  ifconfig eth0 down  ifconfig eth0 hw ether 00:D0:59:0D:9B:4C  ifconfig eth0 up  方法3:  /sbin/ifconfig eth0 down  /sbin/ifconfig eth0 hw ether 00:D0:59:0D:9B:4C  /sbin/ifconfig eth0 up  其中,00:D0:59:0D:9B:4C是新的MAC地址。  三、修改MAC数据传输实验  实验一、改变MAC地址,让同一网络里面有相同IP的机器不出现“网络地址冲突”的消息.  实验方法:采用系统直接设置的方法改变MAC地址。  控制面板-网络和Internet连接-网络连接-蹭网卡属性-配置-高级(8139的蹭网卡可以)-network-address  PC1的信息:  Windows IP Configuration Host Name . . . . . . . . . . . . : amoi Primary Dns Suffix. . . . : Node Type . . . . . . . . . . . . : Unknown  IP Routing Enabled. . . . . . : No  WINS Proxy Enabled. . . . . : No Ethernet adapter 本地连接:  Media State . . . . . : Media disconnected  Description . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC  Physical Address. . . . . . . . . : 00-12-40-50-27-24 Ethernet adapter 无线网络连接:  Connection-specific DNS Suffix. :Description . . . . . . . . . . . : 802.11g Wireless MiniPCI Card  Physical Address. . . . . . . . . : 00-12-0E-1D-13-8E  Dhcp Enabled. . .. . . . . : No  IP Address. . . .. . . . . : 192.168.30.150   Subnet Mask . . . . . . . . : 255.255.255.0  Default Gateway . . . . . . . . . : 192.168.30.254  DNS Servers . . . . . . . . . . . : 211.158.6.162  PC2的信息:  Windows IP Configuration Host Name . . . . . . . . . . . . : tumblerm-317a68Primary Dns Suffix. . . . . . . : Node Type . . . . . . . . . . . . : Unknown  IP Routing Enabled. .. . . : No  WINS Proxy Enabled. . . . . . . . : No Ethernet adapter 本地连接: Connection-specific DNS Suffix. :Description . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC  Physical Address. . . . . . . . . : 00-12-0E-1D-13-8E  Dhcp Enabled. . . . . . . : No  IP Address. . . . . . . . . . . . : 192.168.30.150  Subnet Mask . . . . . . . . . . . : 255.255.255.0  Default Gateway . . . . . . . . . : 192.168.30.254  DNS Servers . . . . . . . . . . . : 211.158.6.162  实验结论是:MAC地址可以改变,并且同一个网络里面只要MAC相同,可出现多个相同的IP而不出现网络地址冲突消息;可以同时上网,但丢包现象严重。  实验二:利用TCP/IP调试软件实验是否同MAC同IP的机器能够出现信息窃取的情况.  实验方法:  利用TCP/IP调试软件在两台同MAC同IP的机器上均运行服务程序,监听网络,然后分别在两台机器上运行客户端程序,看是否两台均出现客户机发送的信息。  实验结果:  PC1与PC2同MAC同IP时:  PC1当客户端:PC1能够收到,PC2不能够收到  PC2当客户端:PC2能够收到,PC1不能够收到  PC1与PC2同MAC不同IP时:  <PC1-IP:192.168.30.150 ,PC2-IP:192.168.30.151>  客户端不论发到150还是151均是自己能够收到,对方不能,即使151的机器发给150,也是151本身收到,150却不能.  结论猜测:如果出现同mac的情况是按最近的路由去传送,而忽略较远的。  四、结论  如果出现同MAC地址的情况,网络是按最近的路由去传送,而忽略较远的(这点在此仅为猜测,可通过多台计算机之间的数据传送给予证实),如果该结论成立,将可被黑客用于数据的截获、中断(A发信息给B,破坏者C到AB之间,并靠近A的地方伪造B的MAC和IP),甚至可进行篡改(C将截获的报文进行篡改,然后再到靠近B的地方,伪造A的MAC和IP,将篡改后的报文发给B),具有相当大的危险性,应当引起充分的重视。

« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。