Thiết bị có thể đánh cắp địa chỉ IP được phân bổ MAC?

Kịch bản: Bạn có một mạng gia đình bình thường, được cung cấp bởi một bộ định tuyến tiêu chuẩn. Mạng được gọi là ' netz '. Không có mật khẩu trên mạng netz. Trên bộ định tuyến, bạn đã đặt địa chỉ IP tĩnh (192.168.1.20) thành Địa chỉ Mac XYN: 123.

Bây giờ là một thiết bị mới (XXX: 999), cố gắng tham gia netz. Tuy nhiên, nó đã đặt trong card mạng của mình để luôn sử dụng địa chỉ 192.168.1.20

Chuyện gì sẽ xảy ra?

Theo đồng nghiệp của tôi, điều này sẽ dẫn đến lỗi và đánh cắp các gói IP từ nhau. Nhưng đây có thực sự là sự thật không?

Nó có vẻ hợp lý hơn với tôi khi IP được phân bổ cho XYN :: 123, nó sẽ từ chối nỗ lực của XXX: 999 để tham gia mạng.

router static-ip

— P3nnyw1se
nguồn

Tôi đang giả sử bạn có nghĩa là mạng không dây ?

— MDMoore313

@ MDMoore313: Mạng gia đình có dây thường là Ethernet và cũng sử dụng địa chỉ MAC.

— MSalters

@MSalters đó là câu hỏi, OP không bao giờ tuyên bố không dây hoặc có dây. Tôi cho rằng OP có nghĩa là không dây vì OP nóithere is no password on the 'netz' network.

— MDMoore313

Đây chỉ đơn giản là một lỗi cấu hình trên một mạng không bảo mật. Những điều khủng khiếp sẽ xảy ra. Bạn có thể bảo mật mạng (mặc dù hầu hết các bộ định tuyến SoHo giá rẻ không cung cấp khả năng này) hoặc đảm bảo rằng không có thiết bị độc hại hoặc được cấu hình không chính xác trên mạng.

— David Schwartz

Câu trả lời:

Trên bộ định tuyến, tôi đặt IP tĩnh 192.168.1.20 cho Mac Addresse XYN: 123

Không, bạn đã không, bạn đã tạo một đặt phòng DHCP - đây là khác nhau, mặc dù kết quả là như nhau. Bạn sẽ có xung đột IP dẫn đến kết nối bị suy giảm cho một hoặc cả hai máy tính. Đồng nghiệp của bạn gần như đúng, mặc dù tôi không biết anh ta có ý gì khi "ăn cắp các gói".

— MDMarra
nguồn

Nó có thể là một mục ARP tĩnh, phải không?

— NickW

Vì vậy, bạn đang nói với tôi rằng tôi không thể dự trữ IP trên bộ định tuyến và đảm bảo các thiết bị chính xác là thiết bị duy nhất có được chúng? Nó chỉ là cuộc chiến mở và nó nói là tĩnh trên hầu hết các bộ định tuyến .. ít nhất là theo cách riêng của tôi .. đoán điều đó làm cho nó trở thành kẻ nói dối :)

@ P3nnyw1se: Có, "DHCP tĩnh" không phải là mô tả chính xác 100% về mặt kỹ thuật; quá đơn giản đối với người dùng cuối xảy ra thường xuyên trong điện tử tiêu dùng. Bạn đã đúng: IP là một giao thức rất đáng tin cậy và có thể hiểu sai nó mà không cần quá nhiều nỗ lực.

— Piskvor rời khỏi tòa nhà vào

Có nhiều công nghệ khác nhau tồn tại để đảm bảo rằng các thiết bị trên mạng không làm bất cứ điều gì cố ý hoặc vô tình gây hại. Thông thường, đó là sự kết hợp của DHCP Guard / Snooping, 802.1x và NAC. Nhưng vốn không có bộ định tuyến SOHO tích hợp sẵn cho phép chức năng này.

— MDMarra

Tôi nghĩ rằng "ăn cắp gói" nên là "ăn cắp gói". Khi bạn đã làm điều này đủ lâu, những từ đó trở nên xa cách trong tâm trí bạn rằng việc thay thế từ này sang từ khác thực sự gây nhầm lẫn, nhưng với những người mới sử dụng ngôn ngữ kỹ thuật hoặc tiếng Anh nói chung, họ có vẻ như họ nên hoán đổi cho nhau.

On the router I set a static IP 192.168.1.20 to Mac Addresse XYN:123
Now a new device XXX:999, sets in its network card to always use addresse 192.168.1.20

Tôi không chắc chắn về sơ đồ đặt tên này vì nó trông giống như một hostname:portkết hợp hơn là một địa chỉ mac.

Hãy giả vờ rằng:

trên DHCP Serverbạn thiết lập một phòng tĩnh cho xx:xx:xx:xx:xx:xxđến192.168.1.20
Thiết bị này kết nối với mạng và đi qua các kênh DHCP
Một thiết bị mới có địa chỉ mac yy:yy:yy:yy:yy:yykết nối với mạng và cố gắng sử dụng địa chỉ IP tĩnh được định cấu hình cục bộ192.168.1.20

Thông thường: Các máy chủ Oracle Linux của tôi (XEM: Dựa trên Red Hat) kiểm tra xem địa chỉ đó có được sử dụng trên mạng hay không trước khi đưa đầy đủ NIC lên. Windows Machines sẽ cố gắng đưa NIC lên, phát hiện xung đột và báo cáo cảnh báo về mộtip address conflict

Cuối cùng: Hành vi không được xác định và các hệ điều hành khác nhau sẽ sử dụng các quy trình khác nhau để khắc phục / bỏ qua vấn đề. Nếu hai thiết bị được đưa lên mạng có cùng địa chỉ IP, tất cả các nút trên mạng con sẽ có arp entryánh xạ IP tới một trong hai MAC ADDRESSES. Vì có các IP xung đột, ánh xạ này có thể khác nhau trên mỗi nút. Đối với thảo luận kỹ thuật, xem phần sau: Nhập vào ARP Giả mạo

Trong mạng doanh nghiệp, có thể là khôn ngoan khi có phần cứng / phần mềm cố gắng phát hiện và chặn những lần thử đó.

Kết luận điều hành: Nếu hai nút được đưa lên thành công trên cùng một mạng con có cùng địa chỉ IP, sẽ có vấn đề kết nối cho ít nhất một và có thể cả hai nút. Các vấn đề này có thể chuỗi ra bên ngoài để ảnh hưởng đến toàn bộ mạng nếu một trong hai nút đang lưu trữ các dịch vụ quan trọng.

— Daniel Widrick
nguồn

Nếu thiết bị XYN: 123 của bạn được bật trước, bộ định tuyến sẽ gán cho nó IP 192.168.1.20 dành riêng và điều đó sẽ hoạt động tốt. Khi XXX: 999 kết nối, nó sẽ không yêu cầu bộ định tuyến cho địa chỉ IP và chỉ lắng nghe các gói tới 192.168.1.20. Điều này sẽ dẫn đến một cuộc xung đột và nó có thể gây ra hiệu suất xấu / các gói bị mất.

Nếu XXX: 999 kết nối trước, XXX: 999 sẽ cho rằng nó có địa chỉ đó và sử dụng nó mà không cần hỏi bộ định tuyến. Bộ định tuyến sẽ (hy vọng đủ thông minh để) thấy rằng một thiết bị đang sử dụng địa chỉ đó đang được sử dụng và gán cho XYN: 123 một địa chỉ khác ngay cả khi nó đã cố gắng dự trữ 192.168.1.20 cho XYN: 123.

— Owen Johnson
nguồn

Đây không phải là một lời giải thích rất tốt về cách ARP hoạt động. Khi XXX: 999 kết nối, nó sẽ làm nhiều hơn là chỉ nghe các gói tới 192.168.1.20 - nó sẽ đáp ứng các yêu cầu ARP cho địa chỉ đó, chủ động gây nhầm lẫn, mất và đồng bộ hóa các kết nối TCP.

— MadHatter