程序“谁在我的 wifi 上”指示设备的 mac 地址为 00:05:04:03:02:01。有人知道它是什么吗?我有本地 ISP 的 Cisco 路由器。
答案1
您可以将其插入互联网上的某个 OUI 查找站点,以查找拥有 OUI 的公司。
出现类似 的模式时54321,很可能有人使用了伪造的 MAC 地址。伪造 MAC 地址相对容易。
答案2
Wireshark OUI 查找工具(https://www.wireshark.org/tools/oui-lookup.html) 显示前缀00:05:04已注册到“Naray Information & Communication Enterprise”。这似乎是一家零部件制造商/OEM,因此没什么帮助。
如果您的 ISP 为您提供了路由器的登录信息,您可以查看哪个 IP 地址和/或设备具有该 MAC 地址 - 或者更好的是,它可能打印在您设备上的某个地方。
您还可以使用 Google 了解如何使用 ARP(单独使用或与命令一起使用arping)来使用该 MAC 了解 IP 地址。也许 IP 与您的路由器(计算机上配置的“默认网关”)的 IP 相匹配。
前面的内容很值得学习,但是@RonMaupin 关于它被欺骗的说法可能是对的。
答案3
我在我的网络上发现了一个类似的神秘主机,最后来到这里寻找答案,距离上次更新已经过去了 2 年多 :)。但由于这个页面有 5K 次浏览量,我想其他人可能仍然对我的答案感兴趣。
nMap 扫描我的网络后,发现 TCP 监听器位于 10.0.0.254:49152 (mac 00:05:04:03:02:01)。(顺便说一下,49152 的十六进制表示为 C0:00)
在我的情况下,罪魁祸首是我的 Xfinity 无线网关(思科型号),它设置为在 10.0.0.1 下工作。但在 10.0.0.254 地址上,它似乎托管了支持网关无线保护设置 (WPS) 功能的服务器。
我通过启动 Wireshark 并观察往返于 10.0.0.254 地址的流量发现了该信息。我看到的是一些 SSDP 通知消息。其中包括 URL http:// 10.0.0.254:49152/wps_device.xml。浏览该 URL 提供了识别我的 XFinity/Cicso 网关的型号信息。
如果您有 Cisco 路由器/网关,也许您可以跳过 Wireshark 步骤,只需在神秘主机出现的 IP 上尝试该 URL。
我自己还没有尝试过,但我认为在网关上禁用 WPS 和/或 UPnP(WPS 经常使用)可能会使 254 主机消失。
答案4
这是 ASA Cisco 防火墙。您会注意到唯一开放的端口也是 49152。我是网络安全与取证专业的学生。防火墙经常使用 54321 MAC 地址,以便于识别。