Author Topic: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต (Read 9942 times) Tweet Share

@...StopeR...@ · « **on:** December 19, 2007, 12:25:00 AM »

อย่างที่ทราบกันดีว่า การเปลี่ยน MAC Address ให้เปนตัวเดียวกับผู้ที่ได้รับอนุญาติให้สามารถเล่นอินเทอร์เนตได้นั้น เราก็จะสามารถเล่นเนตได้ด้วยเช่นกัน แต่มีประเด็นอยู่ก้คือ

MAC Address ที่เราเปลี่ยนนั้น เป็นเเค่การเเปะ Header ของเฟรมแต่ล่ะเฟรมเท่านั้นรึเปล่า ? แต่ยังไงเราก็ไม่สามารถปกปิด MAC จริงๆของเราได้

server ที่สามารถดู packet ทุกตัวได้นั้นเค้าจะมองเห็นว่ามี มีเครื่องที่ access เข้ามาเป็น MAC เดียวกันทั้งสองเครื่องเลยรึเปล่า ? ถ้ากรณีที่เปลี่ยน MAC แล้วได้ IP เดียวกับเครื่องเป้าหมายด้วย

จากที่เคยทดสอบมา ผมเห็นว่าบางทีเวลา Scan เครื่องในเครือข่าย ก็จะเจอบางเครื่องที่ IP อยู่ใกล้ๆกันแต่คนละ IP นะ แต่มี MAC Address เดียวกัน...

ออ...และที่สำคัญ...หากทาง server ต้องการค้นหาปลายทางจริงๆเค้าสามารถทำได้กี่วิธีที่จะเจอเรา (หากเราเป็นคนปลอม MAC) เคยลองคิดดูเล่นๆว่า หากเค้าเเยก MAC ได้ว่าใครจริงใครปลอม แล้วส่งไปให้กับองค์กรที่จัดการเรื่องนี้ แล้วส่งต่อไปอีกยังผู้ผลิต Wireless card แล้วเชคอีกว่า wireless card ตัวนี้ MAC นี้เคยผลิตเป็นของยี่ห้อใด ? รุ่นใด ? ใช้กับ Notebook หรือเป็น usb หรืออาไรก็ตามแต่ แล้วส่งต่อไปอีกว่าเคยส่งออกจำหน่ายที่ใด ? มาจนถึงร้านที่ซื้อก็มีการเก็บ log ไว้อีกว่า สินค้ารุ่นนี้ ยี่ห้อนี้เคยขายให้กับใคร วันที่เท่าใด มีบิล มีลายเซนพร้อม...โอ่...หรือจะคิดมากไปเองหว่า...

WingGundamZeroCustom.co.th · « **Reply #1 on:** December 19, 2007, 12:39:45 AM »

Quote from: @...StopeR...@ on December 19, 2007, 12:25:00 AM

MAC Address ที่เราเปลี่ยนนั้น เป็นเเค่การเเปะ Header ของเฟรมแต่ล่ะเฟรมเท่านั้นรึเปล่า ? แต่ยังไงเราก็ไม่สามารถปกปิด MAC จริงๆของเราได้

เปลี่ยนได้ ถ้าเราทำการ Flash MAC Address ใหม่ลงไปใน NIC เลยครับ

Quote from: @...StopeR...@ on December 19, 2007, 12:25:00 AM

server ที่สามารถดู packet ทุกตัวได้นั้นเค้าจะมองเห็นว่ามี มีเครื่องที่ access เข้ามาเป็น MAC เดียวกันทั้งสองเครื่องเลยรึเปล่า ? ถ้ากรณีที่เปลี่ยน MAC แล้วได้ IP เดียวกับเครื่องเป้าหมายด้วย

จากที่เคยทดสอบมา ผมเห็นว่าบางทีเวลา Scan เครื่องในเครือข่าย ก็จะเจอบางเครื่องที่ IP อยู่ใกล้ๆกันแต่คนละ IP นะ แต่มี MAC Address เดียวกัน...

ออ...และที่สำคัญ...หากทาง server ต้องการค้นหาปลายทางจริงๆเค้าสามารถทำได้กี่วิธีที่จะเจอเรา (หากเราเป็นคนปลอม MAC) เคยลองคิดดูเล่นๆว่า หากเค้าเเยก MAC ได้ว่าใครจริงใครปลอม แล้วส่งไปให้กับองค์กรที่จัดการเรื่องนี้ แล้วส่งต่อไปอีกยังผู้ผลิต Wireless card แล้วเชคอีกว่า wireless card ตัวนี้ MAC นี้เคยผลิตเป็นของยี่ห้อใด ? รุ่นใด ? ใช้กับ Notebook หรือเป็น usb หรืออาไรก็ตามแต่ แล้วส่งต่อไปอีกว่าเคยส่งออกจำหน่ายที่ใด ? มาจนถึงร้านที่ซื้อก็มีการเก็บ log ไว้อีกว่า สินค้ารุ่นนี้ ยี่ห้อนี้เคยขายให้กับใคร วันที่เท่าใด มีบิล มีลายเซนพร้อม...โอ่...หรือจะคิดมากไปเองหว่า...

คงเห็นว่ามี MAC Address ตัวเดียวแต่ 2 IP มา Access (กรณีที่อยู่วงเดียวกัน) แต่ Server คงไม่รู้ว่าเครื่องไหนเป็นเครื่องจริง ยกเว้นจะนำข้อมูลอื่นๆ มาเปรียบเทียบด้วย เช่น IP, Hostname ฯลฯ

ส่วนเรื่องการจะตามจับคนที่ใช้ MAC ปลอม ความคิดเห็นส่วนตัวคือ ต่อให้บังคับใช้พรบ.ฉบับใหม่ทุกคนเคร่งครัดปฏิบัติตามหมดทุกคน การจะตามจับก็ยังยากเลยครับ

ยังไงก็ยืนยันอีกทีครับ มันจะเกิดปัญหาก็ต่อเมื่อมันอยู่ในวงเดียวกันเท่านั้น แต่ถ้าไป Access เครื่องที่อยู่ต่างเน็ตเวิร์กกันไม่น่าจะเกิดปัญหา ถ้าไม่มีการใช้ค่า MAC เกิดขึ้นครับ

@...StopeR...@ · « **Reply #2 on:** December 19, 2007, 01:47:25 AM »

ฮู้ว์...เทพเดียร์มาตอบเองเลยวุ้ย...

YiM · « **Reply #3 on:** December 19, 2007, 06:54:00 AM »

ปุจฉา - แล้วจะรู้ได้งัยอะว่าปลอม เพราะ driver ของ NIC บางตัวมันสา่มารถให้เปลี่ยน MAC Addr กันได้เลยนะ แล้ว packet ที่ส่งไปก็ไม่ได้บอกว่าเราใช้ NIC ของอะไรอ่า

thanachit · « **Reply #4 on:** December 19, 2007, 06:57:04 AM »

หึหึ

WingGundamZeroCustom.co.th · « **Reply #5 on:** December 19, 2007, 10:04:05 AM »

Quote from: YiM on December 19, 2007, 06:54:00 AM

ปุจฉา - แล้วจะรู้ได้งัยอะว่าปลอม เพราะ driver ของ NIC บางตัวมันสา่มารถให้เปลี่ยน MAC Addr กันได้เลยนะ แล้ว packet ที่ส่งไปก็ไม่ได้บอกว่าเราใช้ NIC ของอะไรอ่า

วิสัชนา - อย่างที่บอก ถ้าปกติคงไม่รู้ ยกเว้นจะเอาข้อมูลอื่นๆ มาร่วมเปรียบเทียบด้วย เช่น IP, Host, Session บลาๆๆ~~

Prototype Shin_amuro Mk-V · « **Reply #6 on:** December 19, 2007, 10:16:57 AM »

ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล

MaXXi · « **Reply #7 on:** December 19, 2007, 01:34:35 PM »

Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM

ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล

หรอครับพี่

WingGundamZeroCustom.co.th · « **Reply #8 on:** December 19, 2007, 03:38:33 PM »

Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM

ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล

มุขนายยอดมาก

@...StopeR...@ · « **Reply #9 on:** December 19, 2007, 04:01:20 PM »

มาฮาจริงๆ นายชินอามูโร่เนี่ย

งั้นต่ออีกว่า อัตราการสูญเสีย packet ที่มัน error ไปเนี่ย ระหว่างที่เรา spoof MAC ตรงกับเครื่องเป้าหมายแล้วเล่นเนตพร้อมกัน มากน้อยขึ้นอยู่กับปัจจัยอาไรบ้าง ?

แล้วเวลาที่ spoof ไปแล้วเนี่ย จะมีปัญหาอาไรกับเครื่องปลายทางมั้ย ? เพราะบางทีรุ้สึกว่าเล่นๆอยู่แล้วเนตมันตายไปดื้อๆ ไม่รุ้เปนเพราะมีคนเปลี่ยนมาตรงกะเครื่องเรารึเปล่า ? 0_O...

YiM · « **Reply #10 on:** December 19, 2007, 04:10:35 PM »

Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM

ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล

เจ้าพ่อมุขเงียบ มุขเฉียบเหมือนเดิมไม่เปลี่ยนเลยแฮะ

WingGundamZeroCustom.co.th · « **Reply #11 on:** December 19, 2007, 04:14:41 PM »

Quote from: @...StopeR...@ on December 19, 2007, 04:01:20 PM

มาฮาจริงๆ นายชินอามูโร่เนี่ย

งั้นต่ออีกว่า อัตราการสูญเสีย packet ที่มัน error ไปเนี่ย ระหว่างที่เรา spoof MAC ตรงกับเครื่องเป้าหมายแล้วเล่นเนตพร้อมกัน มากน้อยขึ้นอยู่กับปัจจัยอาไรบ้าง ?

แล้วเวลาที่ spoof ไปแล้วเนี่ย จะมีปัญหาอาไรกับเครื่องปลายทางมั้ย ? เพราะบางทีรุ้สึกว่าเล่นๆอยู่แล้วเนตมันตายไปดื้อๆ ไม่รุ้เปนเพราะมีคนเปลี่ยนมาตรงกะเครื่องเรารึเปล่า ? 0_O...

ปัจจัยก็คงมีแค่ มันแย่งกันแค่ไหน ถ้าอีกเครื่องไม่คิดจะส่งข้อมูลเลย เราก็สบายแฮ แต่ถ้าแย่งกันส่งข้อมูลล่ะก็ ตีกันตายแน่ๆ ส่วนปัญหาที่จะเกิดขึ้นเรอะ เครื่องเรามีปัญหาอะไร อีกเครื่องมันก็มีปัญหาเหมือนกันนั่นแหล่ะครับ ไม่ต่าง

thanachit · « **Reply #12 on:** December 20, 2007, 09:27:04 PM »

คล้ายกับ collision ไหม

WingGundamZeroCustom.co.th · « **Reply #13 on:** December 20, 2007, 10:37:07 PM »

Quote from: Bankster at it.kmitl.ac.th on December 20, 2007, 09:27:04 PM

คล้ายกับ collision ไหม

collision คือการชนกันของข้อมูล แต่สำหรับกรณี MAC ซ้ำกันนี้น่าจะเรียกว่า การสับสนกันของข้อมูลมากกว่า ก็คือ ข้อมูลแทนที่จะส่งไปถูกเครื่อง มันกลับส่งไปอีกเครื่องนึงแทน อะไรแบบนี้ครับ

Lord of the king · « **Reply #14 on:** January 10, 2008, 06:01:26 PM »

เราว่าน่าจะเกี่ยวกับความฉลาดของ switch ด้วยน้า
เพราะไอพีถ้าคนละไอพี แต่ MAC Address (ต้องเขียนให้เ็ต็มเด๋วโดนเล่น

) เหมือนกัน
ต้องที่ SAT เรียนรู้มันก็น่าจะรู้ได้ว่าไอพีสองอัน MAC เดียวกัน ไม่น่าจะเกิดขึ้นได้
ก็อาจจะมีการใส่ทับกัน ทำให้เกิดข้อมูลสูญหายไปได้นะ สำหรับเครื่องที่ถูกทับ
ปล. น่าทดลองเหมือนกันนะเนี่ย ดูว่า CISCO Switch จะเห็นเป็นยังไง

thanachit · « **Reply #15 on:** January 10, 2008, 07:42:24 PM »

ใช่น่าทดลอง
แต่ firewall ผมมัน block udp
packet เพราะมันคิดว่า invalid
หลังจาก spoof
--"

Prototype Shin_amuro Mk-V · « **Reply #16 on:** January 13, 2008, 11:07:33 AM »

อย่าลืมว่า Switch มันเป็น L2 ไม่รู้จัก IP ครับ
SAT แค่บอกว่า MAC Address นี้เชื่อมต่อเข้ากับพอร์ตไหนอยู่เท่านั้นนะครับ
IP สองเบอร์ที่มี MAC Address ซ้ำกัน Switch ก็ไม่รู้ครับ
ถ้ามี MAC Address อันใหม่โผล่มามันก็จะอัพเดทแทนค่าเดิมที่เคยอยู่ก่อนครับ
ดังนั้นข้อมูลเลย Lost เพราะว่าบางทีมันก็ไปเครื่องนึง บางทีก็ไปอีกเครื่องนึง
แล้วแต่ว่าตอนนั้น Switch จะเก็บ MAC Address ของเครื่องไหนไว้

Prototype Shin_amuro Mk-V · « **Reply #17 on:** January 18, 2008, 10:35:51 AM »

อัพเดท เพิ่งรู้ว่า Cisco Switch สามารถกัน ARP Poisoning ได้แล้ว ลองไปอ่านดู
Configuring Dynamic ARP Inspection
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/19ew/configuration/guide/dynarp.html

ส่วน ARP Poisoning ก็คือเทคนิคนึงที่เคยโพสไว้นี่แหละ

Quote from: Shin_amuro Mk-II Custom on December 12, 2007, 05:01:10 PM

มันมีวิธีเหมือนกัน (ผ่านการทดลองแล้วกับ Wireless Lan ของหอพักแห่งหนึ่ง)
โดยเราปลอม MAC Address เป็น Gateway แล้วทำตัวเป็น Man in the Middle ครับ
ส่ง ARP Reply กลับไปหา Client ทุกตัว จะทำให้ Client คิดว่าเราคือ Gateway
แล้วทีนี้พอทุกเครื่องส่ง Packet มาหาเรา เราก็ทำหน้าที่เป็นตัว Forward ไปให้ Gateway จริงๆ อีกที
ทีนี้ก็ดักจับ Packet สบายเลยครับ

IT@KMITL Forums

News:

Author Topic: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต (Read 9942 times) Tweet Share

@...StopeR...@

เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

WingGundamZeroCustom.co.th

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

@...StopeR...@

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

YiM

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

thanachit

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

WingGundamZeroCustom.co.th

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

Prototype Shin_amuro Mk-V

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

MaXXi

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

WingGundamZeroCustom.co.th

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

@...StopeR...@

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

YiM

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

WingGundamZeroCustom.co.th

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

thanachit

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

WingGundamZeroCustom.co.th

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

Lord of the king

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

thanachit

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

Prototype Shin_amuro Mk-V

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต

Prototype Shin_amuro Mk-V

Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต