我正在阅读加拿大隐私法博客的旧档案,他链接到一份司法判决。显然,作为一项调查的一部分,该调查使用了雅虎聊天和谷歌旧的“hello”图像交易程序,警官能够确定嫌疑人的调制解调器的MAC地址:
为了确定 STEPHTOSH 是谁,警官对 WHO IS 程序进行了跟踪,以了解 STEPHTOSH 的来源。WHO IS 是一个可供公众使用的命令程序。警官能够确定使用 STEPHTOSH 这个名字的人是 Rogers Internet 的客户。警官能够获得 Internet 协议地址,也称为 IP。IP 只有一个位置,对于该用户而言是唯一的。通过使用 DNS STUFF.com 网站,人们能够找到此 IP 在哪家公司注册。确定 STEPHTOSH 使用的 IP 地址是在多伦多地区的 Rogers Cable 注册的。警官还了解了 STEPHTOSH 使用的 Cable Modem MAC 地址。这就是警官能够收集到的所有信息。
现在我的理解是,任何给定设备的 MAC 地址只有在互联网上距离只有一“跳”时才可以访问。涉案嫌疑人在马克姆,而警官是多伦多警察局的一名警官,因此可以想象他们都可能使用了 Rogers 互联网。但这是否仍然意味着他们之间只有一“跳”的距离?我认为调制解调器后的第一跳通常是 ISP?如果他对这个人的机器使用 netBIOS 查询,它将返回以太网卡的 MAC,而不是调制解调器的 MAC。那么这个人是否与嫌疑人的电缆调制解调器在同一个 Rogers 子网上,该功能是否是 Google Hello 的一部分(我只能认为如果 Hello 作为虚拟 LAN 或类似的东西运行,它将成为可能),警官是否可以远程访问 Rogers 路由器的 arp 缓存,或者他只是在胡说八道和撒谎以使他的案子更有说服力?
答案1
如果有人询问,罗杰斯可能会直接向办公室提供信息。这些信息可能是实时的,也可能是他们有动态 DHCP 条目的日志。
写这篇文章的人虽然说了“也是 MAC”,但他们可能将 MAC 地址与 IP 地址混淆了。
据我所知,原始 MAC 地址不会出现在通过互联网传输的数据包的任何地方。
答案2
一般来说,给定设备的 MAC 地址仅对在第 2 层与其通信的设备可用。其他协议(例如您提到的 NetBIOS 查询)可能会将 MAC 公开给更高层,但一般来说,在数据包到达第一个第 3 层设备(路由器)之后,MAC 就会停止发送。
我无法说出加拿大执法部门对 Rogers 的设备拥有何种访问权限。这听起来有些技术上的荒谬,但也许执法部门确实拥有对第 3 层或第 2 层基础设施的“增强”访问权限。
答案3
MAC 地址仅与第 2 层相关(按照惯例,即零跳)。但是,某些协议或应用程序可能会将其作为数据流的一部分嵌入到数据包中。否则,源 MAC 和目标 MAC 始终会在路径上的每一跳处重写。
唯一的例外是某种隧道,其中原始数据包被封装在包装数据包中(即 SSH 隧道)。
答案4
如果不是电缆,我会同意所有其他答案。
SNMP 可以提供有关接口及其各自 MAC 地址的信息。有线调制解调器通常支持 SNMP,即使在 WAN 端也是如此(不一定在公共 WAN IP 上)。
因此,即使距离有几个网络跳数,也可能找到调制解调器的 MAC 地址。