Schimbarea MAC-ului placii de retea

Se da studiul de caz:

Fie o retea cu cca. 300 de statii, LAN eterogen din punct de vedere al sistemelor rulate. Unele din statii sunt echipate cu placi de retea Realtek cu chipset RTL8139 si au optiunea de schimbare a MAC-ului. Folosind un scanner banal (ex: Project Rex) se face o lista cu IP-uri/MAC-uri ale statiilor din retea si se folosesc aceste MAC-uri pentru a avea acces Internet in mod, daca vreti, "ilegal" (un fel de partajare a conexiunii - mai multe statii cu acelasi MAC !). Reteaua are 3 servere, care ruleaza: Win2K Server, SuSE Linux, Caldera Linux si un router Cisco (din pacate, nu stiu modelul).

Ce se cere:
1. Cum se poate "filtra" traficul astfel incat cei care "pirateaza" accesul la Internet sa fie restrictionati?
2. Se poate realiza o monitorizare a incarcarii benzii pentru un anumit IP la nivel de statie (si nu la nivel de server, ca administratorul sigur poate).
3. In consecinta, se pot identifica acele statii din retea care utilizeaza in mod abuziv banda? (si, eventual, pe ce criterii se poate realiza aceasta identificare - nume NetBIOS, etc.)

Pina sa raspund la intrebarile puse, vreau sa-ti atrag atentia ca mai multe device-uri cu acelasi MAC in acelasi LAN nu au cum sa functioneze (ma rog ... niste pachete, acolo, vor ajunge si la ele ... dar conflictele ce apar duc la o adevarata brambureala in retea ...). Vorbesc, evident, despre functionare concomitenta ...

Este intr-adevar ciudat, dar schimband adresa MAC, chiar daca inainte dau un ping pe ip-ul corespunzator acelui MAC si primesc reply (deci acea statie este online), eu totusi am acces la Internet, ceea ce inseamna ca cele doua statii (cea indrituita si cea pirat) impart pachetele. Interesant este de vazut cum se face distributia pachetelor, intrucat routerul trimite pe acelasi ip (care este, practic, partajat de doua calculatoare!) fara sa faca diferentierea intre aceste doua destinatii. El stie doar de IP, nu de alte criterii. Spun ca se poate pentru ca am vazut: Internetul merge mai greu dar merge chiar daca si respectivul este online. In cazul in care acesta este offline, viteza este chiar mai mare (folosesc toata banda acelui IP). Asta este tot ce pot sa spun suplimentar.

poate le dubleaza ca nu au cum sa le imparta.
si nu stiam pana acum ca se poate schimba o adresa fizica.

Am facut si eu cu ceva timp in urma niste teste de genul asta cu MAC-urile dar in momentul in care intrau 2 calculatoare ale caror MAC-uri erau identice mergeau extrem de prost.
Nu prea cred ca poti sa depistezi care e pirat si care nu dar ar fi interesant sa poti afla acest lucru.

Pe linux parca se poate modifica adresa MAC care este in memorie, dupa ce a fos incarcata de pe placa de retea.
Si oricum pachetele cand trec prin retea sunt captate de fiecare host care le accepta sau le da drop in functie de adresa lor de destinatie.

Am si eu o intrebare. Doresc de ex ca sa schimb MAC-ul placii de retea, de ex vizitez o pagina de net, adminul i-mi vede IP-ul dar poate ca-mi vede si MAC-ul. Sistem de operare am win2000, cum pot face ca sa-mi vada un MAC care nu este al meu, deci un fake MAC ? Sau cum pot preveni sa nu vada MAC-ul meu real deci sa nu vada nici un MAC !?

nu ai cum sa faci ce vrei tu ... comunicatia in retea se face pe baza MACului ... deci, daca vrei sa comunici cu un device din retea, este imperativ ca acela sa-ti cunoasca MACul.

Acesta se poate schimba, dar nu vad la ce te-ar ajuta pe tine. Anyway, vezi ca s-a discutat foarte curand in alt topic ... ia da un search in networking!

Acum am vazut si eu ce prostie am zis legat de schimbare MAC......anyway nu stiu ce aveam....beat probabil

Deci parerea mea este ca asa cum functioneaza si proxy, asa trebuie sa mearga si cu MAC-ul, celalalt vede la capat IP-ul proxy si nu cel real, daca se trece printr-un proxy chiar daca vede ca e proxy, dar nu stie IP real. Asa si MAC-ul, cred ca daca e vreu prog special care sa genereze un MAC aiurea si cel real sa treaca prin cel aiurea (un fel de proxy) si celalalt sa vada ca MAC, MAC-ul generat fake. Si sa fie folosibil si cel fake software. Cel putin cred ca e posibil. Ma ajuta poate deoarece eu am impresia ca daca-mi vede MAC-ul ma poate localiza ca si daca-mi vede IP ! Daca nu e asa spune-mi. Da-ti parere te rog la ce am zis.

indiferent ce ai face, pe baza MACului respectiv (fake sau real) se va putea ajunge la computer-ul tau ... si dupa aia te mai pui rau si cu adminu' ... shi nu-i o splendoare! :D (iti spun io ca admin :drac: )

@CBogdan: chestia cu pachetele care ajung la fiecare host, etc este valabila doar daca folosesti un HUB. Daca ai doua placi de retea cu acelasi MAC s-ar putea sa pui switch-ul in incurcatura. Cum se descurca in cazul asta depinde probabil de implementare.

problema este ca fiecare nas i-si are nasul din pacate, si superman daca cristalul era spart, nu mai avea puteri asa ca indiferent cit de tare este cineva intr-un domeniu, este unul care sa-i dea cu principiile in cap ! Adminii stiu ei f multe este adevarat ptr sunt baieti isteti si ii duce mintea dar au o limita ca oricine de altfel, deci nu pot trece de anume granite. La ei trebuie sa se tina cont de o lege "crede ce vezi, si nu cerceta ca nu prea ai cum in unele cazuri", "ia ca realitate ceea ce vezi, aceea este realitatea". Pareri ? Argumente contradictorii ?

ai draq admini ...

vbim maine, dar fara asa multa poezie, ca o dam dintr-una-ntr-alta :drac:

PS: nu prea cred ceea ce vad, ci (,) ceea ce pot intelege ...

@Mycroptics:

1. poti aloca IP-urile prin DHCP si IP-ul sa se dea in functie de MAC (astfel, cel care pirateaza va trebui sa stie si MAC-ul placii de retea al celui pe care-l pirateaza.

2. autentificare PPPoE (PPP over Ethernet)

Recomand treaba cu DHCP-ul + PPPoE :)

deci treaba cu doua mac la fel nu prea tine (asta la mine pe un sw intel 460T si pe inca 2 rasnitze de dlink)

deci am gasit o tampenie de program de schimbat mac ul
si l-am schimbat cu unul care era deja conectat.

dupa restart si tot restul, sw l-a lasat pe original in pace si cel online i-a aprins 2 leduri de "port problem", pe cel clonat nu poti face cam nimic in retea (pentru ca se conecteaza si deconecteaza rapid si continua), local raspunde la ping, afiseaza mac, si atat

pe sw si hub dlink le baga pe ambele in coleziune si cu o incarcare de doar 2 porturi arata trafic de 80% si coleziuni la fel (80-90%), statiile nu raspund la ping(decat local)


deci solutia cade atat timp cat acel mac e online :)

(e bine de stiut)

chestia cu DHCP si pppoe e ok, dar daca mai treci printr-un proxy mai poti seta si acolo un alc (sau parca era acl) si acolo poti seta un user si o parola, si te poti lega de un mac

grija mare  cu acel cisco..... nu e chiar asa de prost :)

daca ai schimbat un mac..... poate il retine si undeva poate isi noteaza si cand vine admin ul raporteaza :)

iar daca treci printr-un proxy poti sta linistit ca stie si ce pagini ai vizitat



mai bine ne ai spune la ce vrei sa il schimbi sau mai bine zis de ce , ce anume vrei sa faci????

(nu de alta, la mine in firma, desi exista net la super Tzeava, este impartit de 3 pc uri, restul colegilor..... lipsa net>>>> si asta e politica firmei>>>> eu sunt admin acolo >>>> )

P.S. nu sunt chiar asa rau..

Quote

Si eu am avut aceeasi problema (eu impart net-ul la utilizatori iar unii lasa Teleport-ul sa descarce sute de mega). Am facut un "program" in Visual C (cam schioapata, dar merge) cu care pot sa vad traficul inspre/dinspre server catre fiecare statie din lan.
Pentru asta trebuie:
1. sa instalezi WinPcap ((aici)
2. sa rulezi timer.exe sau sa modifici timer.cpp pentru reteaua ta (eu lucrez la el, deocamdata merge pentru adrese 10.148.0.x), dar pentru asta ai nevoie si de wpdpack tot de la url de mai sus

Bre,am o intrebare:
am un calc cu XP pe el.i-am schimbat MAC-ul
am instalat VIRTUAL PC.cu xp si cu un alt mac.
intru pe net printr-un proxy dar numai de pe virtual.
cum poate administratorul sa dea de calculatorul real?sau mai bine zis POATE?????!!!!
P.S. pentru securizare,as putea sa mai bag si un firewall care nu lasa sa se vada nimik,lasa deschis doar portul prin care ma conectez la net.poate sa dea in vreunul din cazuri de mine?