Zróżnicowanie produktów Apple według ich adresów MAC

18

Apple zarejestrowało mnóstwo zakresów adresów MAC dla swoich produktów. Czy ktoś wie, czy możliwe jest wiarygodne określenie, który produkt Apple (w szczególności iPad, iPod, iPhone i MacBooki) dane urządzenie jest w ruchu sieciowym poprzez określone prefiksy adresów MAC? Innymi słowy, czy jest coś w adresie MAC iPada, który można odróżnić na przykład od adresu MAC MacBooka?

iphone ipad mac network wifi chrześcijanin
źródło
Czy po prostu potrzebujesz zidentyfikować, czy jest to produkt Macintosh?
E1Suave
1
Działa to tylko wtedy, gdy ludzie nie fałszują swoich adresów MAC. Jeśli tak, możesz uzyskać fałszywie dodatnie lub fałszywe negatywy, w zależności od tego, kto co robi.
Fałszywe imię
1
Racja, rozumiem to - ale moje pytanie nie brzmiało, czy adresy MAC są wiarygodnym identyfikatorem, pytam, czy mogę rozróżnić produkty Apple za ich pomocą.
Christian
@Christian - jeśli nie są wiarygodnym identyfikatorem, nie można rozróżnić korzystających z nich produktów Apple, ponieważ można je zmienić . Więc nie, najwyraźniej tego nie rozumiesz. Może to być możliwe przez większość czasu, ale jeśli MAC został zmieniony, nie jest już możliwy .
Fałszywe nazwisko
Nie wiem dokładnie o adresach Mac, ale odciski palców tcp ( en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting ) mogą cię tam dostać. Ponownie, ponieważ fałszywe imię było tak grzeczne, gdy wskazywał dwa razy, pobieranie odcisków palców nie jest w 100% niezawodne (mogę zmienić konfigurację stosu IP), ale ile osób faktycznie robi. meh Będziesz mógł przynajmniej segmentować produkty iOS i inne. (na podstawie odcisku palca systemu
operacyjnego

Odpowiedzi:

12

Nie, sortowanie lub określanie wzorca w adresie MAC nie jest wykonalnym sposobem odwzorowania na model produktu Apple.

Przez lata oglądania adresów MAC w sieci, a także eksplozji urządzeń na iOS, jeśli byłby to dobry wzór, zaczynałby się wyświetlać we wdrożeniach z setkami urządzeń.

Na przykład mam jeden komputer Mac, który ma dane na około 1000 urządzeń z systemem iOS, które zostały podłączone z czasem do tego komputera Mac podczas działania narzędzia konfiguracyjnego iPhone. Patrząc teraz na dane, nie ma wyraźnych wzorców, które pomagałyby rozróżnić typy urządzeń.

Dotyczy to również komputerów Mac. Niestety moje dane tutaj są w setkach, a nie tysiącach. Tak - ciąg MacBooków, gdy są zamawiane razem, zwykle ma sekwencyjny adres (w rzeczywistości więcej niż kolejne numery seryjne) - ale z czasem wydaje się, że iMaki mieszają się z Airsem i MacBookiem Pro.

Możliwe, że istnieje pewne kodowanie i nikt nie natknął się na które bity są kodowane numerami modeli, ale prosty rodzaj adresów MAC powoduje, że wszystkie urządzenia są zakłócone. Być może jeśli znajdziesz kogoś, kto uruchamia oprogramowanie do zarządzania urządzeniami mobilnymi dla bardzo dużej firmy lub dystryktu szkolnego i sprawdzisz, czy jest on wystarczająco ciekawy, aby sprawdzić, czy większy zestaw danych przyniesie lepsze wyniki.

Nie widziałem przypadku, w którym komputer Mac i urządzenie iOS współużytkują ten sam mniejszy blok adresów MAC, ale nie mogę nawet wykluczyć tego na podstawie mojego doświadczenia z prowadzeniem sieci, które rejestrują adres MAC i są w stanie wiedzieć, jaki sprzęt jest powiązany z danym adresem MAC na przestrzeni lat.

Domyślam się, że adresy są wydawane sekwencyjnie, a nie według miejsca docelowego. Rozsądne byłoby rozdzielenie części każdego regionu na fabryki, które mają wyprodukować 5 lub 10 tys. Urządzeń w następnym miesiącu i wydawać więcej, gdy istniejące adresy zostaną zużyte. Jeśli tak, możemy mieć więcej szczęścia, próbując skumulować liczby według przybliżonej daty produkcji, a nie według miejsca, w którym kończy się na wysyłce. Weź również pod uwagę na Macu, naprawy często dają nowy adres MAC przenośnym, a nawet komputerom stacjonarnym, po wymianie kontrolera Ethernet.

bmike
źródło
Dzięki! To najbliższa jak dotąd odpowiedź. Rzeczywiście w tej chwili zasadniczo monitorujemy punkty dostępu, przez które przechodzi wiele osób. Szybki komentarz: twoje pierwsze zdanie sugeruje, że wzorzec musiałby znajdować się w ostatnich trzech oktetach, co nie musi być takie, biorąc pod uwagę wiele prefiksów, które Apple ma, ale później wspominasz, że sortowanie również nie powoduje wzorca, więc może chcieć wyjaśnić. (Ponadto, jeśli możesz s / mac / Mac / gdzie wspominasz o 1000 urządzeniach z iOS, to pomoże uniknąć zamieszania. :)
Christian
Masz swobodę, aby po prostu edytować mój post, aby wyczyścić to w sposób zadowalający. Spróbuję znaleźć bezpieczny fragment MAC, który mogę zwolnić, pokazując, co mam na myśli, i dodam to później do tego postu.
bmike
4

Odpowiedz dwa lata po pytaniu, nie jest możliwe poleganie tylko na adresie Mac.

Ponieważ wspomniałeś o monitorowaniu ruchu sieciowego, najlepszym rozwiązaniem byłoby nasłuchiwanie ruchu Bonjour (dns multiemisji).

Domyślnie maszyny nazywane są „jannies-iphone.local”, „gregs-macbook.local”, „peters-imac.local” ...

Bonjour jest dość gadatliwy i generuje szumy dla AFP, SMB, VNC, RAOP, DAAP i innych usług / protokołów. Sugeruję, abyś użył „Bonjour Browser”, a następnie napisał skrypt za pomocą Tshark (linia poleceń Wireshark), aby zautomatyzować proces.

Bez zdalnego skanowania możesz zarządzać swoimi urządzeniami poprzez:

  • Uruchamianie agenta (lub profilu) na każdym urządzeniu z systemem OS X i iOS w celu pobrania „sysctl hw.model” lub jego numeru seryjnego. „Mac Tracker” może pomóc ci zobaczyć różne modele komputerów Mac oraz ich specyfikację i wzór numeru seryjnego.

  • Korzystanie z Profile Manager, Konfiguratora lub dowolnych rozwiązań MDM. (Ale to nie dotyczy twojego pytania).

Znajdź iOS i OS X działające w sieci:

Możesz także użyć narzędzia sieciowego, takiego jak nmap z opcją -A, -O lub -sV (Active Fingerprinting i wersja serwisowa) i filtrować prefiks adresów Apple mac za pomocą anylizera sieciowego.

Patrząc na wersję usługi, numery portów [tcp 65xxx jest portem do synchronizacji z iPhone'em, tcp 548 AFP (OS X)] pomogą ci ustalić wersję OS X i sprzęt, ale nie dokładnie. (Nie będziesz w stanie odróżnić, iPada, iPhone'a, iPoda lub Maca).

Florian Bidabe
źródło
3

Jeśli chcesz tylko ustalić, czy jest to produkt Macintosh, możesz wypróbować tę usługę wyszukiwania adresów MAC . Pozwala wpisać adres MAC i poda nazwę dostawcy. Prawdopodobnie nie będzie pomocny w określeniu konkretnych dostawców do celów programowych, jednak zadziałało dla mnie, jeśli chodzi o sprawdzenie, czy maszyna jest produktem Apple.

AKTUALIZACJA:

Oprócz korzystania z wewnętrznej bazy danych jest mało prawdopodobne, że będziesz w stanie zrobić to, o co prosisz. Jeśli zdecydowałeś się skonfigurować wewnętrzną bazę danych, rozważne może być użycie numeru seryjnego lub innego unikalnego identyfikatora dostępnego dla każdej maszyny.

E1Suave
źródło
Nie, nie tego szukam - szukam sposobu na odróżnienie produktów Apple za pomocą ich adresów MAC.
Chrześcijan
Przepraszam, przeczytałem pytanie, ponieważ chciałeś rozróżnić, czy adres MAC jest produktem Macintosh.
E1Suave
Bez obaw! Zdaję sobie sprawę, że to dość niezwykłe pytanie.
Christian
1
@ E1Suave Twoja lektura pytania była również dla mnie zrozumieniem. Zredagowałem pytanie, aby wyjaśnić zamiar PO.
Daniel
1
@DanielLawson Rzeczywiście. :–) Jednak wciąż mam nadzieję na odpowiedź. Wydaje mi się, że Apple najprawdopodobniej miałoby takie zastosowanie do użytku wewnętrznego i być może istnieje coś podobnego do użytku konsumentów.
E1Suave
2

Pracowałem dla znanego na całym świecie producenta / producenta wbudowanych komputerów. Jak powiedział Dennis (i myślę, że już wiesz), pierwsze trzy oktety z sześciu adresów MAC służą do identyfikacji dostawcy. Dlatego możesz kupić zakresy adresów od IEEE. Po nich musisz zagwarantować jako programista / sprzedawca z własnego sprzętu, że ta druga część jest taka, że ​​kompletny 6-bajtowy MAC jest całkowicie unikalny w całym wolrd (bez uwzględnienia nadużyć i fałszowania adresów MAC ze względów bezpieczeństwa później). Przez cały okres działalności produkcyjnej Musisz zagwarantować, że w twoim wewnętrznym 3-bajtowym kodzie dostawcy każdy kod ma naprawdę unikalny zakres adresów dla drugiej połowy MAC.

Jak sobie to uświadomić w ciągłej produkcji?

Zrobiliśmy to, zakładając nowy adres (n + 1) z naszego zakresu n w {0..16'777'215} dla każdej części adresu dostawcy MAC, gdzie n był ostatnim podanym adresem ORAZ dana jednostka pomyślnie zakończyła działanie ostatni test działania (np. odpowiadał w teście banku testów Ethernet).

Co to jest adres MAC i co go identyfikuje?

W rzeczywistości adres MAC dotyczy protokołu warstwy sieciowej (druga warstwa w modelu ISO / OSI) i jest używany w protokołach IEE802 jako Ethernet, WLAN, Bluetooth i inne i odnosi się TYLKO do karty sieciowej! NIE maszyna z tyłu! Tak więc druga część MAC to nic więcej niż seryjny numer seryjny z chipsetu sieciowego lub płyty głównej (np. Wewnętrzne rozszerzenie WLAN lub bluetooth jest małym zdenerwowanym obwodem drukowanym smd na płycie głównej i również nadaje się do serwisowania).

Przykłady

Nie otaczają mnie żadne urządzenia Apple. Ale sprawdziłem sprzęt Samsunga. Oto moje wyniki: (odsyłam tylko część MAC dostawcy)

  1. dla Samsung Galaxy S II z najnowszym systemem Android 4.0.4

    04:46:65 WLAN (802.11) odnosi się to do Murata Manufacturing Co. jako producenta chipów 56: b2: a4 GSM Advanced (IP przez sieć telefonii komórkowej), nie wymieniono na mojej liście dostawców MAC

  2. Samsung Galaxy GT-P5110 z najnowszym systemem Android 4.0.4

    50: 01: BB WLAN (802.11) nie jest wymieniony na mojej liście dostawców MAC

Mam nadzieję, że udzielisz odpowiedzi na pytanie związane z aspektem.

przytulny
źródło
0

Nie znam żadnej oficjalnej listy, ale możesz spróbować ją skompilować tak, jak AppleSerialNumberInfo.com zrobił z numerami seryjnymi. Możesz nawet podejść do nich, aby zrobić to za Ciebie. Szybka kontrola kilku urządzeń sugeruje, że może to być możliwe, ponieważ prefiksy MAC, na które patrzyłem, różniły się w zależności od modelu.

Oczywiście nigdy nie będzie niezawodny, ponieważ urządzenia takie jak routery i przełączniki (a także maszyny wirtualne) rutynowo pozwalają na łatwe ustawienie ich adresów MAC na cokolwiek chcesz.

Old Pro
źródło
Dzięki za wskazówkę. Dla przypomnienia, w pełni zgadzam się, że adresy MAC nie są stabilnym identyfikatorem, ale w moim ustawieniu (i) po prostu nie ma znaczenia, czy garstka ludzi je zmieniła i (ii) zależy mi przede wszystkim na odróżnieniu iPodów od iPadów ze smartfonów, więc prawdopodobieństwo, że ludzie je zmienili na tych urządzeniach jest nadal niższe.
Christian
@Christian, zgadzam się, że ludzie prawdopodobnie nie zmienili swoich adresów MAC iPhone'a. Bardziej prawdopodobne jest, że ktoś sfałszuje adres MAC iPhone'a za pomocą routera lub maszyny wirtualnej. W każdym razie wygląda na to, że jesteś w środowisku, w którym możesz przechwycić wiele adresów MAC i empirycznie odpowiedzieć na własne pytanie. Jeśli tak, zgłoś się.
Old Pro
1
Nie postawiłbym na to. Właśnie rozejrzałem się po domu i znalazłem zarówno APE, jak i (bardzo stary) Mac mini, gdzie adres MAC zaczyna się od 00:11:24.
nohillside
0

Pierwsza połowa adresu MAC identyfikuje dostawcę, druga połowa niekoniecznie musi odpowiadać czegokolwiek .

Dennis Wurster
źródło
Bingo - takie są moje doświadczenia związane z przeglądaniem adresu MAC i ogólnie produktu Apple.
bmike
0

Nie. Nie jest możliwe rozróżnienie między różnymi produktami Apple tylko według ich adresu MAC.

Możesz jednak bardzo wygodnie wyszukać setki adresów MAC - po prostu wklej listę adresów MAC, a to wypluje producentów.

Pankaj
źródło
0

Tym się właśnie zajmuję. Za pomocą „nmap” możesz dowiedzieć się, jakie urządzenie jest oparte na systemie operacyjnym lub typie urządzenia. (Patrz poniżej).

root@netmon:~# nmap -O 192.168.14.235

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-19 16:50 UTC
Nmap scan report for 192.168.14.235
Host is up (0.0043s latency).
Not shown: 999 closed ports
PORT      STATE SERVICE
62078/tcp open  iphone-sync
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 2 hops

Dostarczone przez OpenSource911.com

Scott Odell
źródło
nmapnie jest rodzimym poleceniem w systemie macOS.
Allan
-1

rzeczy takie jak netscaler mogą odróżnić przeglądarkę od tego, czy dotyczy inteligentnego laptopa / tabletu / książki itp.

mewiththeamequestion
źródło
-1

Jest bardzo mało prawdopodobne, że masz do czynienia tylko z adresami MAC, prawie na pewno będziesz mieć adres IP również dla tego urządzenia. Gdy to zrobisz, możesz odcisnąć palcem zachowanie DHCP do poziomu dokładności, który jest dość przerażający. Większość dostawców punktu dostępu Wi-Fi to robi. Odwiedź [ https://fingerbank.org ], aby uzyskać szczegółowe informacje na temat bazy danych.

boris42
źródło