我和十几岁的儿子正在玩黑客游戏。我安装了一个 WiFi 路由器,并配备了家长控制、MAC 过滤、VPN 等功能。我为他屏蔽了互联网,他试图逃出笼子(目前我只是用我自己知道如何破解的方式进行屏蔽)。
最终,他不得不使用 MAC 过滤。几天后,他弄清楚了如何进行 MAC 欺骗。问题是,我的路由器为每个连接的设备都有一个“设备信息”页面,不知何故知道发生这种情况。它显示同一条目下的攻击者设备,以及来自该攻击者的所有已知 MAC 地址。以下是输出(地址仅供参考):
Name: Attacker's Computer
Manufacturer:
Model:
OS: Windows
IP Address (Wireless)-1: 192.168.1.175
IPv6 Address (Wireless)-1: --
MAC Address: 00:11:22:33:44:55
IP Address (Offline)-2: --
IPv6 Address (Offline)-2: --
MAC Address: 11:22:33:44:55:66
IP Address (Offline)-3: --
IPv6 Address (Offline)-3: --
MAC Address: 22:33:44:55:66:77
地址 00:11:22:33:44:55 和 11:22:33:44:55:66 是伪造的。制造商的地址是 22:33:44:55:66:77。
我的路由器怎么知道这一点?它使用哪种协议功能来检测流量来自使用旧 MAC 的同一台计算机?如果有帮助,则有问题的路由器是 Linksys WRT1200AC。
答案1
他可能伪造了他的 MAC,但没有使用新的 MAC 更改他的 IP,因此它们会一起显示在您的状态屏幕上。
如果您确实想限制访问,则可能需要安装代理。如果代理是唯一可以访问互联网的机器,则强制使用它。然后,代理可以对每个用户进行身份验证,并为每个用户设置白名单、黑名单和每日时间限制。
您的另一个选择是将所有 MAC 地址列入黑名单,然后将您想要访问互联网的 MAC 地址列入白名单。
答案2
检测伪造的无线 MAC 地址的方法有很多。其中一种方法是使用客户端信号强度。这种方法对固定客户端非常有效。
另一种方法是比较客户端收发器的物理特性。
... 物理层信息是无线电特性和物理环境所固有的,因此更难伪造,并且可用于区分设备。 Hall 等人使用射频 (RF) 信号瞬态部分的频域模式作为指纹,以唯一地标识收发器。 来源
引用的来源还包含更多有关 MAC 欺骗检测的信息。