Unterscheidung von Apple-Produkten nach ihren MAC-Adressen

18

Apple hat eine Menge MAC-Adressbereiche für seine Produkte registriert . Weiß jemand, ob es möglich ist, über bestimmte MAC-Adresspräfixe zuverlässig zu identifizieren, welches Apple-Produkt (insbesondere iPad, iPod, iPhone und MacBooks) sich im Netzwerkverkehr eines bestimmten Geräts befindet? Mit anderen Worten, gibt es etwas an der MAC-Adresse eines iPads, das sich beispielsweise von der MAC-Adresse eines MacBook unterscheiden lässt?

Christian
quelle
Müssen Sie lediglich feststellen, ob es sich um ein Macintosh-Produkt handelt?
E1Suave
1
Dies funktioniert nur, wenn die Benutzer ihre MAC-Adressen nicht fälschen. Wenn dies der Fall ist, erhalten Sie möglicherweise entweder falsche Positive oder falsche Negative, je nachdem, wer was tut.
Fake Name
1
Richtig, ich verstehe das - aber meine Frage war nicht, ob MAC-Adressen eine zuverlässige Kennung sind. Ich frage, ob ich Apple-Produkte, die sie verwenden, unterscheiden kann.
Christian
@Christian - Wenn es sich nicht um eine zuverlässige Kennung handelt, können Sie Apple-Produkte, die diese verwenden, nicht unterscheiden, da sie geändert werden können . Also nein, anscheinend verstehst du das nicht. Möglicherweise ist dies die meiste Zeit der Fall , aber wenn der MAC geändert wurde, ist dies nicht mehr möglich .
Fake Name
Ich kenne die Adressen von Macs nicht genau, aber TCP-Fingerabdrücke ( en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting ) können Sie irgendwie dorthin bringen. Wie bereits erwähnt, ist der Fingerabdruck nicht zu 100% zuverlässig (ich kann meine IP-Stack-Konfiguration ändern), aber wie viele Personen tun dies tatsächlich. meh Sie könnten zumindest zwischen iOS- und Nicht-iOS-Produkten unterscheiden. (basierend auf dem os fingerprint)
skarface

Antworten:

12

Nein, das Sortieren oder Bestimmen eines Musters in der MAC-Adresse ist keine praktikable Methode, um ein Modell eines Apple-Produkts zuzuordnen.


Im Laufe der Jahre, in denen MAC-Adressen in Netzwerken sowie die Explosion von Geräten unter iOS beobachtet wurden, wurde dies in Bereitstellungen mit Hunderten von Geräten angezeigt, wenn es ein gutes Muster gab.

Zum Beispiel habe ich einen Mac mit Daten zu ungefähr 1.000 iOS-Geräten, die im Laufe der Zeit mit diesem Mac verbunden wurden, während das iPhone-Konfigurationsdienstprogramm ausgeführt wurde. Wenn man sich die Daten jetzt ansieht, gibt es keine klaren Muster zur Unterscheidung der Gerätetypen.

Dies gilt auch für Macs. Leider liegen meine Daten hier derzeit zu Hunderten und nicht zu Tausenden vor. Ja - eine Reihe von MacBooks, die zusammen bestellt werden, haben normalerweise sequenzielle Adressen (mehr als Seriennummern) - aber im Laufe der Zeit scheinen sich die iMacs mit den Airs und dem MacBook Pro zu vermischen.

Es könnte sein, dass eine Codierung vorhanden ist und niemand darüber gestolpert ist, welche Bits mit Modellnummern codiert sind, aber eine einfache Art der MAC-Adressen hat die Geräte alle durcheinander gebracht. Vielleicht können Sie jemanden finden, der die Verwaltungssoftware für mobile Geräte für ein sehr großes Unternehmen oder einen Schulbezirk ausführt, und feststellen, ob er neugierig genug ist, um festzustellen, ob ein größerer Datensatz zu besseren Ergebnissen für Sie führen würde.

Ich habe noch keinen Fall gesehen, in dem ein Mac und ein iOS-Gerät denselben kleineren Block von MAC-Adressen gemeinsam haben, aber ich kann dies nicht ausschließen, basierend auf meiner Erfahrung mit Netzwerken, die MAC-Adressen protokollieren und dazu in der Lage sind wissen, welche Hardware mit welcher MAC-Adresse im Laufe der Jahre verbunden ist.

Ich vermute, dass die Adressen nacheinander und nicht nach dem endgültigen Ziel vergeben werden. Es wäre sinnvoll, Teile jeder Region an Fabriken zu verteilen, von denen erwartet wird, dass sie im nächsten Monat fünf- oder zehntausend Geräte herstellen und erst dann mehr ausgeben, wenn die vorhandenen Adressen verbraucht sind. In diesem Fall haben wir möglicherweise mehr Glück, wenn wir versuchen, die Nummern nach ungefährem Herstellungsdatum zu sortieren, anstatt danach, wo sie in einem Versandprodukt landen. Berücksichtigen Sie auch, dass bei Reparaturen auf Mac-Seite tragbaren Computern und sogar Desktop-Macs häufig eine neue MAC-Adresse zugewiesen wird, wenn der Ethernet-Controller ausgetauscht wird.

bmike
quelle
Vielen Dank! Dies kommt einer Antwort noch am nächsten. Wir überwachen derzeit in der Tat im Wesentlichen Zugangspunkte, an denen viele Personen ankommen. Ein kurzer Kommentar: Ihr erster Satz legt nahe, dass das Muster in den letzten drei Oktetten liegen müsste, was angesichts der Vielzahl von Präfixen, die Apple hat, nicht der Fall sein muss. Später erwähnen Sie jedoch, dass die Sortierung ebenfalls kein Muster hervorbringt möchten vielleicht klären. (Auch wenn Sie s / mac / Mac / wo Sie die 1.000 iOS-Geräte erwähnen könnten, würde das helfen, Verwirrung zu vermeiden. :)
Christian
Sie können meinen Post einfach bearbeiten, um dies zu Ihrer Zufriedenheit zu klären. Ich werde versuchen, einen sicheren Ausschnitt des MAC zu finden, den ich veröffentlichen kann, um zu zeigen, was ich meine, und den ich später zu diesem Beitrag hinzufüge.
bmike
4

Antworte zwei Jahre nach der Frage, es ist nicht möglich, sich nur auf die Mac-Adresse zu verlassen.

Da Sie die Überwachung des Netzwerkverkehrs erwähnen, ist der beste Ansatz, Bonjour-Datenverkehr (Multicast-DNS) zu überwachen.

Standardmäßig heißen Maschinen "jannies-iphone.local", "gregs-macbook.local", "peters-imac.local" ...

Bonjour ist ziemlich gesprächig und erzeugt Rauschen für AFP, SMB, VNC, RAOP, DAAP und andere Dienste / Protokolle. Ich würde vorschlagen, dass Sie "Bonjour Browser" verwenden und dann etwas mit Tshark (Wireshark-Befehlszeile) skripten, um den Prozess zu automatisieren.

Ohne Remote-Scans können Sie Ihre Geräte wie folgt verwalten:

  • Ausführen eines Agenten (oder Profils) auf jedem OS X- und iOS-Gerät, um "sysctl hw.model" oder dessen Seriennummer abzurufen. Mit 'Mac Tracker' können Sie die verschiedenen Mac-Modelle und deren Spezifikation und Seriennummer sehen.

  • Verwendung von Profile Manager, Configurator oder MDM-Lösungen. (Dies geht jedoch nicht auf Ihre Frage ein).

Suchen Sie nach iOS und OS X, die im Netzwerk ausgeführt werden:

Sie können auch ein Netzwerk-Tool wie nmap mit den Optionen -A, -O oder -sV (Active Fingerprinting und Dienstversion) verwenden und das Apple Mac-Adresspräfix mithilfe eines Netzwerk-Anylizers filtern.

Wenn Sie sich die Serviceversion ansehen, können Sie anhand der Portnummern [TCP 65xxx ist ein iPhone-Sync-Port, TCP 548 AFP (OS X)] die OS X-Version und die Hardware ermitteln, jedoch nicht genau. (Sie können iPad, iPhone, iPod oder Mac-Modell nicht unterscheiden.)

Florian Bidabe
quelle
3

Wenn Sie lediglich feststellen müssen, ob es sich um ein Macintosh-Produkt handelt, können Sie den Suchdienst für diese MAC-Adresse verwenden . Hier können Sie die MAC-Adresse eingeben und erfahren, wie der Name des Anbieters lautet. Es ist wahrscheinlich nicht hilfreich, um bestimmte Anbieter für die programmgesteuerte Verwendung zu identifizieren. Es hat sich jedoch als hilfreich erwiesen, um festzustellen, ob es sich bei dem Computer um ein Apple-Produkt handelt.

AKTUALISIEREN:

Abgesehen von der Verwendung einer internen Datenbank ist es unwahrscheinlich, dass Sie in der Lage sind, das zu tun, was Sie verlangen. Wenn Sie sich für die Einrichtung einer internen Datenbank entschieden haben, ist es möglicherweise ratsam, die Seriennummer oder eine andere eindeutige ID zu verwenden, die für jeden Computer verfügbar ist.

E1Suave
quelle
Nein, das ist nicht das, was ich suche - Ich bin Suche nach einem Weg zu unterscheiden Apple - Produkte über ihre MAC - Adressen.
Christian
Entschuldigung, ich habe die Frage gelesen, als Sie herausfinden wollten, ob es sich bei der MAC-Adresse um ein Macintosh-Produkt handelt.
E1Suave
Keine Bange! Mir ist klar, dass es eine etwas ungewöhnliche Frage ist.
Christian
1
@ E1Suave Deine Lektüre der Frage war auch mein Verständnis. Ich habe die Frage bearbeitet, um die Absicht des OP zu verdeutlichen.
Daniel
1
@ DanielLawson In der Tat. :-) Ich hoffe jedoch immer noch auf eine Antwort. Es scheint mir, Apple hätte wahrscheinlich eine interne Verwendung für so etwas und vielleicht gibt es etwas Ähnliches für den Verbraucherbedarf.
E1Suave
2

Ich habe für einen weltweit bekannten Entwickler / Hersteller von Embedded-Computern gearbeitet. Wie Dennis sagte (und ich vermute, dass Sie es bereits gewusst haben), dienen die ersten drei von sechs Oktetten der MAC-Adresse der Identifizierung des Anbieters. Daher können Sie Adressbereiche von IEEE kaufen. Danach müssen Sie als Entwickler / Anbieter von Ihrer eigenen Hardware garantieren, dass dieser zweite Teil so beschaffen ist, dass der gesamte 6-Byte-MAC auf der ganzen Welt einzigartig ist (ohne Berücksichtigung von Missbrauch und MAC-Spoofing für spätere Sicherheitsprobleme). Für die Lebensdauer Ihrer Produktionstätigkeit müssen Sie sicherstellen, dass in Ihrem 3-Byte-Herstellercode jeder Code einen wirklich eindeutigen Adressbereich für die zweite Hälfte des MAC aufweist.

Wie kann man das in einer kontinuierlichen Produktion realisieren?

Wir haben dies getan, indem wir eine neue Adresse (n + 1) aus unserem Bereich n in {0..16'777'215} pro MAC Vendor Adress-Teil angenommen haben, wobei n die letzte angegebene Adresse war UND die betreffende Einheit erfolgreich absolviert wurde der abschließende Funktionstest (z. B. wurde in einer Ethernet-Testbank geprüft).

Was ist die MAC-Adresse und woran erkennt man sie?

Tatsächlich ist die MAC-Adresse für das Netzwerkschicht-Protokoll (2. Schicht im ISO / OSI-Modell) und wird für IEE802-Protokolle wie Ethernet, WLAN, Bluetooth und andere verwendet und bezieht sich NUR auf die Netzwerkkarte! NICHT die Maschine dahinter! Der 2. Teil des MAC ist also nichts anderes als die Seriennummer des Netzwerk-Chipsatzes bzw. der Karte (z. B. WLAN oder Bluetooth-interne Erweiterung ist eine kleine Störung auf dem Mainboard und kann auch gewartet werden).

Beispiele

Ich habe keine Apple Hardware um mich herum. Aber ich habe eine Überprüfung mit Samsung-Hardware durchgeführt. Hier sind meine Ergebnisse: (Ich verweise nur auf den Herstellerteil von MAC)

  1. für Samsung Galaxy S II mit dem neuesten Android 4.0.4

    04:46:65 WLAN (802.11) Dies bezieht sich auf Murata Manufacturing Co. als Chiphersteller 56: b2: a4 GSM Advanced (IP over Cellphone-Netzwerk), nicht in meiner MAC-Anbieterliste aufgeführt

  2. Samsung Galaxy GT-P5110 mit dem neuesten Android 4.0.4

    50: 01: BB WLAN (802.11) nicht in meiner MAC-Anbieterliste aufgeführt

Ich hoffe, einige aspektbezogene Antworten auf Ihre Frage geben zu können.

gemütlich
quelle
0

Mir ist keine offizielle Liste bekannt, aber Sie können versuchen, eine wie bei AppleSerialNumberInfo.com mit Seriennummern erstellte Liste zu erstellen . Sie können sich sogar an sie wenden, um dies für Sie zu tun. Eine schnelle Überprüfung einiger Geräte lässt vermuten, dass dies möglich ist, da die von mir betrachteten MAC-Präfixe je nach Modell unterschiedlich waren.

Natürlich wird es nie narrensicher sein, da Geräte wie Router und Switches (sowie virtuelle Maschinen) es Ihnen routinemäßig ermöglichen, ihre MAC-Adressen einfach auf beliebige Werte festzulegen.

Alter Pro
quelle
Danke für den Tipp. Ich stimme zu, dass MAC-Adressen keine stabile Kennung sind, aber in meiner Einstellung (i) spielt es einfach keine Rolle, ob eine Handvoll Leute sie geändert haben, und (ii) ich kümmere mich hauptsächlich darum, ipods von ipads zu unterscheiden von iPhones, so ist die Wahrscheinlichkeit, dass Menschen sie auf diesen Geräten geändert haben, noch geringer.
Christian
@ Christian, ich stimme zu, dass die Leute ihre iPhone MAC-Adressen wahrscheinlich nicht geändert haben. Wahrscheinlicher ist, dass jemand eine iPhone MAC-Adresse mit einem Router oder einer VM fälscht. Wie auch immer, es hört sich so an, als ob Sie sich in einer Umgebung befinden, in der Sie viele MAC-Adressen erfassen und Ihre eigenen Fragen empirisch beantworten können. Wenn Sie dies tun, melden Sie sich bitte zurück.
Old Pro
1
Darauf würde ich nicht wetten. Wir haben uns gerade im Haus umgesehen und sowohl eine APE als auch einen (sehr alten) Mac mini gefunden, bei dem die MAC-Adresse mit 00:11:24 beginnt.
Nohillside
0

Die erste Hälfte einer MAC-Adresse identifiziert den Anbieter, die zweite Hälfte entspricht nicht unbedingt irgendetwas .

Dennis Wurster
quelle
Bingo - das war meine Erfahrung mit dem Durchsuchen von MAC-Adressen und Apple-Produkten im Allgemeinen.
bmike
0

Nein, es ist nicht möglich, verschiedene Produkte von Apple nur anhand ihrer MAC-Adresse zu unterscheiden.

Sie können jedoch Hunderte von MAC-Adressen sehr bequem nachschlagen - fügen Sie einfach eine Liste von MAC-Adressen ein, und die Hersteller werden darauf hingewiesen.

Pankaj
quelle
0

Das ist was ich mache. Mit "nmap" können Sie herausfinden, was das Gerät basierend auf dem Betriebssystem oder dem Gerätetyp ist. (Siehe unten).

root@netmon:~# nmap -O 192.168.14.235

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-19 16:50 UTC
Nmap scan report for 192.168.14.235
Host is up (0.0043s latency).
Not shown: 999 closed ports
PORT      STATE SERVICE
62078/tcp open  iphone-sync
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 2 hops

Präsentiert von OpenSource911.com

Scott Odell
quelle
nmapist kein nativer Befehl unter macOS.
Allan
-1

Dinge wie ein Netscaler können vom Browser unterscheiden, ob es sich um ein Smartphen aus Laptop / Tablet / Buch usw. handelt.

mit derselben Frage
quelle
-1

Es ist sehr unwahrscheinlich, dass Sie nur mit MAC-Adressen zu tun haben. Sie haben mit ziemlicher Sicherheit auch eine IP-Adresse für dieses Gerät. Wenn Sie dies tun, können Sie das DHCP-Verhalten mit einem Fingerabdruck auf eine Genauigkeit überprüfen, die ziemlich beängstigend ist. Die meisten Anbieter von WLAN-Zugangspunkten tun dies. Besuchen Sie [ https://fingerbank.org ] für Details zur Datenbank.

boris42
quelle