Doppelte MAC-Adresse im selben LAN möglich?

18

Nehmen wir an, jemand ist im selben Netzwerk wie ich und fälscht seine MAC-Adresse entsprechend meiner:

  1. Ist das möglich? Können sich zwei oder mehr Clients mit derselben MAC-Adresse gleichzeitig im selben Netzwerk befinden und durchgehend verbunden bleiben?
  2. Wenn dies passiert, werde ich dann vom Netzwerk getrennt, wenn im selben Netzwerk keine doppelten MAC-Adressen zulässig sind?
  3. Auf was für ein Verhalten kann ich stoßen, wenn doppelte MAC-Adressen zulässig sind? Kollisionen, Rennbedingungen etc.?
Aaron
quelle

Antworten:

23

Es ist möglich, dass zwei Hosts aufgrund von Spoofing, Fehlern bei der Herstellung oder Vorsatz des Herstellers denselben MAC haben. So,

1) Im Allgemeinen speichert ein Ethernet-Switch eine Tabelle, welche MAC-Adressen an welche Ports angeschlossen sind. Diese Tabelle basiert auf der Quelladresse der Frames, die während des normalen Netzwerkbetriebs empfangen werden. Beim Empfang eines Frames wird der Quell-MAC gelesen und mit der aktuellen Switching-Tabelle verglichen und dann neben dem Switching-Port hinzugefügt, an dem er empfangen wurde.

Wenn also zwei Hosts mit derselben MAC-Adresse vorhanden sind, aktualisiert der Switch seine MAC-Tabelle jedes Mal, wenn er einen Frame von einem der Hosts empfängt. Die Erreichbarkeit beider Hosts wird ein- und ausgeschaltet und ist inkonsistent.

2) Kurze Antwort: nein. Doppelte MAC-Adressen lösen keine Sicherheitsprobleme in einem nicht verwalteten Switch (einem Switch ohne Konfigurationssoftware) oder einem verwalteten Switch (wie den meisten Cisco / HP / Junipers) aus, der nicht für die Port-Sicherheit konfiguriert wurde. Managed Switches geben im Konsolenterminal eine Warnung aus, wenn sie einen doppelten MAC (einen MAC, der auf mehreren Switchports vorhanden ist) erkennen. Standardmäßig werden sie jedoch keine "Maßnahmen" gegen AFAIK ergreifen.

Wenn Sie Port-Sicherheitsoptionen für einen verwalteten Switch verwenden möchten, können Sie beispielsweise nur 1 MAC-Adresse pro Switchport zulassen. Die MAC-Adresse wird dynamisch vom Switch gelernt (wie es normalerweise beim Lernen von MACs der Fall ist), der Unterschied besteht jedoch darin, dass sie nach dem Lernen an diesen Switchport gebunden ist. Wenn der Switch dann Frames von einem doppelten MAC an einem anderen Switch-Port empfängt, kann er diesen Port in einen deaktivierten Zustand versetzen (herunterfahren).

Sie haben in Ihrer Frage die Deauthentifizierung erwähnt. Die Port-Sicherheitsfunktion einiger Switches unterscheidet sich von der "Deauthentifizierung" - es handelt sich um Deauthorisierung. Sie sind ähnlich, aber der Unterschied ist wichtig; Authentifizierung vs. Autorisierung nachschlagen.

3) Doppelte MACs verursachen keine Kollisionen. Kollisionen sind das Ergebnis eines gemeinsamen elektrischen Busses. Es ist eher eine Rennbedingung, obwohl ich noch nie davon gehört habe, dass es sich um eine solche handelt. Denken Sie daran, dass doppelte MACs für alle Standard-Ethernet-Switches "zulässig" sind. Sie verursachen lediglich ein Problem, das die Netzwerkverbindung zu jedem fraglichen Host unterbricht. Das Problem ist eine ständig wechselnde Vermittlungstabelle.

Eric Iovan
quelle
3
Übrigens, bei vielen Unix / Linux / VMware-Anbietern können Sie die MAC-Adresse Ihrer Ethernet-Karten ändern / überschreiben. Dies ist möglicherweise kein ungewöhnliches Ereignis, wenn Sie Konfigurationen von einem System auf ein anderes kopieren. Das ist mir passiert.
MDPC
Es klingt nach einer Möglichkeit, einen Host anzugreifen (z. B. das Standard-Gateway). Auch wenn Dynamic ARP Inspection aktiviert ist, wird Ihre MAC-Adresse in einer DHCP-Erkennungsmeldung angezeigt. Wir verwenden 802.1X, daher kann die Port-Sicherheit nicht gleichzeitig aktiviert sein. In dieser Situation kann man sich meines Erachtens nur mit statischen Einträgen in DAI dagegen wehren.
Brain2000,
@mdpc - Windows-Betriebssysteme können ihren MAC auch in der Software überschreiben.
Les
7

Antworten auf Ihre Frage:

  1. JA, es ist möglich und NEIN, Sie haben keinen beständigen Kontakt.

  2. Möglicherweise sieht der Administrator das Problem und deaktiviert die Ports am Switch.

  3. Was mir begegnete, war, dass zwei Systeme mit derselben MAC-Adresse mit demselben Switch verbunden waren, und ich bemerkte, dass das Netzwerk mit dem LAST-System zusammenarbeiten würde, um ausgewählte Ethernet-Pakete auszusenden. Es war also so, als ein System funktionierte und das andere nicht ... ziemlich amüsant und verwirrend für mich, bis der Netzwerktyp auf das Problem hingewiesen hat.

mdpc
quelle
0

Sie können zwei Computer mit demselben MAC simulieren, indem Sie ein Betriebssystem unter VMware installieren und dann die VM klonen. Beim Klonen bleibt die MAC-Adresse erhalten. Ich glaube nicht, dass Sie einen MAC für eine VM genauso einstellen können wie für eine physische Maschine. VMware schränkt ihn auf einen bestimmten Bereich ein, der nicht kollidieren darf.

Titus
quelle