Czy możliwe jest zduplikowanie adresu MAC w tej samej sieci LAN?

18

Powiedzmy, że ktoś jest w tej samej sieci co ja i fałszuje swój adres MAC, aby pasował do mojego:

  1. czy to możliwe? Czy dwóch lub więcej klientów o tym samym adresie MAC może być jednocześnie w tej samej sieci i pozostawać w stałym kontakcie?
  2. Czy kiedy to się stanie, czy w końcu nie będę uwierzytelniony i wyrzucony z sieci, jeśli duplikaty adresów MAC nie będą dozwolone w tej samej sieci?
  3. Jeśli dozwolone są zduplikowane adresy MAC, jakie zachowanie mogę spotkać? Zderzenia, warunki wyścigu itp.?
Aaron
źródło

Odpowiedzi:

23

Możliwe jest, że dwa hosty mają ten sam MAC, z powodu fałszowania, błędu podczas produkcji lub umyślnego zaniedbania ze strony producenta. Więc,

1) Ogólnie rzecz biorąc, przełącznik Ethernet prowadzi tabelę adresów MAC, do których portów są podłączone. Opiera tę tabelę na adresie źródłowym ramek, które otrzymuje podczas normalnej pracy sieci. Po otrzymaniu dowolnej ramki źródłowy MAC jest odczytywany i porównywany z bieżącą tabelą przełączania, a następnie dodawany wraz z dowolnym portem przełączania, w którym został odebrany.

Jeśli więc istnieją dwa hosty, oba o tym samym adresie MAC, przełącznik zaktualizuje swoją tablicę MAC za każdym razem, gdy odbierze ramkę z dowolnego hosta. Osiągalność dowolnego hosta będzie się włączać i wyłączać i będzie niespójna.

2) Krótka odpowiedź: nie. Zduplikowane adresy MAC nie spowodują żadnego problemu z bezpieczeństwem w przełączniku niezarządzanym (przełączniku bez oprogramowania konfiguracyjnego) lub przełączniku zarządzanym (jak większość Cisco / HP / Junipers), który nie został skonfigurowany pod kątem bezpieczeństwa portów. Zarządzane przełączniki wyświetlą ostrzeżenie wydrukowane w terminalu konsoli, jeśli wykryją zduplikowany MAC (MAC, który „istnieje” na wielu portach przełączników), ale domyślnie nie zrobią nic z tym AFAIK.

Jeśli chcesz użyć opcji bezpieczeństwa portu na zarządzanym przełączniku, możesz zrobić takie rzeczy, jak zezwolić tylko na 1 adres MAC na port przełączników. Adres MAC będzie uczony dynamicznie przez przełącznik (tak jak zwykle uczy się adresów MAC), ale różnica polega na tym, że gdy się go nauczy, zostanie przypisany do tego portu przełączników. Następnie, jeśli przełącznik odbiera ramki ze zduplikowanego adresu MAC na innym porcie przełączania, może ustawić ten port w stanie wyłączonym (zamknąć go).

W swoim pytaniu wspomniałeś o cofnięciu uwierzytelnienia. Funkcja bezpieczeństwa portów niektórych przełączników różni się od „cofania uwierzytelnienia” - jest to cofnięcie autoryzacji. Są podobne, ale różnica jest ważna; wyszukaj uwierzytelnianie vs. autoryzacja.

3) Zduplikowane adresy MAC nie powodują kolizji. Zderzenia są wynikiem wspólnej magistrali elektrycznej. Jest to raczej warunek wyścigu, chociaż wcześniej nie słyszałem, żeby tak się nazywało. Pamiętaj, że duplikaty adresów MAC są „dozwolone” w przypadku każdego gotowego przełącznika Ethernet - powodują tylko problem, który zakłóci połączenie sieciowe z każdym hostem. Problemem jest ciągle zmieniająca się tabela przełączania.

Eric Iovan
źródło
3
BTW, wielu wielu dostawców Unix / Linux / VMware pozwala zmienić / przesłonić adres MAC twoich kart Ethernet. Nie jest to więc rzadkie zdarzenie, jeśli zdarzy się, że skopiujesz konfiguracje z jednego systemu do drugiego. Tak mi się stało.
mdpc
Brzmi jak możliwy sposób zaatakowania hosta (taki jak brama domyślna). Nawet jeśli włączona jest dynamiczna kontrola ARP, przełącznik nadal będzie widzieć twój adres MAC w komunikacie wykrywania DHCP. Używamy standardu 802.1X, więc nie możemy jednocześnie włączyć ochrony portów. W tej sytuacji uważam, że jedynym sposobem na obronę przed tym jest użycie statycznych wpisów w DAI.
Brain2000
@mdpc - w systemach operacyjnych Windows można również przesłonić MAC w oprogramowaniu.
Les
7

Odpowiedzi na twoje pytanie:

  1. TAK jest to możliwe i NIE nie będziesz mieć stałego kontaktu.

  2. Możesz ... administrator może zobaczyć problem i wyłączyć porty na przełączniku.

  3. Zetknąłem się z dwoma systemami o tym samym adresie MAC podłączonym do tego samego przełącznika, a zauważyłem, że sieć będzie działać z systemem LAST, aby wysyłać wybrane pakiety ethernetowe. Tak było, gdy jeden system działał, a drugi nie ... był dla mnie dość zabawny i zagadkowy, dopóki facet z sieci nie wskazał problemu.

mdpc
źródło
0

Możesz symulować dwa komputery z tym samym MAC, instalując system operacyjny pod VMware, a następnie klonując maszynę wirtualną. Po sklonowaniu adres MAC zostaje zachowany. Nie sądzę, abyś mógł ustawić MAC dla maszyny wirtualnej tak samo jak dla maszyny fizycznej, VMware ogranicza go do pewnego zakresu, który nie powinien kolidować.

Tytus
źródło