IT@KMITL Forums

IT@KMITL Knowledge => ไอทีนอกกะลา => Topic started by: @...StopeR...@ on December 19, 2007, 12:25:00 AM

Title: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: @...StopeR...@ on December 19, 2007, 12:25:00 AM: อย่างที่ทราบกันดีว่า การเปลี่ยน MAC Address ให้เปนตัวเดียวกับผู้ที่ได้รับอนุญาติให้สามารถเล่นอินเทอร์เนตได้นั้น เราก็จะสามารถเล่นเนตได้ด้วยเช่นกัน แต่มีประเด็นอยู่ก้คือ

MAC Address ที่เราเปลี่ยนนั้น เป็นเเค่การเเปะ Header ของเฟรมแต่ล่ะเฟรมเท่านั้นรึเปล่า ? แต่ยังไงเราก็ไม่สามารถปกปิด MAC จริงๆของเราได้

server ที่สามารถดู packet ทุกตัวได้นั้นเค้าจะมองเห็นว่ามี มีเครื่องที่ access เข้ามาเป็น MAC เดียวกันทั้งสองเครื่องเลยรึเปล่า ? ถ้ากรณีที่เปลี่ยน MAC แล้วได้ IP เดียวกับเครื่องเป้าหมายด้วย

จากที่เคยทดสอบมา ผมเห็นว่าบางทีเวลา Scan เครื่องในเครือข่าย ก็จะเจอบางเครื่องที่ IP อยู่ใกล้ๆกันแต่คนละ IP นะ แต่มี MAC Address เดียวกัน...

ออ...และที่สำคัญ...หากทาง server ต้องการค้นหาปลายทางจริงๆเค้าสามารถทำได้กี่วิธีที่จะเจอเรา (หากเราเป็นคนปลอม MAC) เคยลองคิดดูเล่นๆว่า หากเค้าเเยก MAC ได้ว่าใครจริงใครปลอม แล้วส่งไปให้กับองค์กรที่จัดการเรื่องนี้ แล้วส่งต่อไปอีกยังผู้ผลิต Wireless card แล้วเชคอีกว่า wireless card ตัวนี้ MAC นี้เคยผลิตเป็นของยี่ห้อใด ? รุ่นใด ? ใช้กับ Notebook หรือเป็น usb หรืออาไรก็ตามแต่ แล้วส่งต่อไปอีกว่าเคยส่งออกจำหน่ายที่ใด ? มาจนถึงร้านที่ซื้อก็มีการเก็บ log ไว้อีกว่า สินค้ารุ่นนี้ ยี่ห้อนี้เคยขายให้กับใคร วันที่เท่าใด มีบิล มีลายเซนพร้อม...โอ่...หรือจะคิดมากไปเองหว่า... :61:
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: WingGundamZeroCustom.co.th on December 19, 2007, 12:39:45 AM: Quote from: @...StopeR...@ on December 19, 2007, 12:25:00 AM
MAC Address ที่เราเปลี่ยนนั้น เป็นเเค่การเเปะ Header ของเฟรมแต่ล่ะเฟรมเท่านั้นรึเปล่า ? แต่ยังไงเราก็ไม่สามารถปกปิด MAC จริงๆของเราได้

เปลี่ยนได้ ถ้าเราทำการ Flash MAC Address ใหม่ลงไปใน NIC เลยครับ

Quote from: @...StopeR...@ on December 19, 2007, 12:25:00 AM
server ที่สามารถดู packet ทุกตัวได้นั้นเค้าจะมองเห็นว่ามี มีเครื่องที่ access เข้ามาเป็น MAC เดียวกันทั้งสองเครื่องเลยรึเปล่า ? ถ้ากรณีที่เปลี่ยน MAC แล้วได้ IP เดียวกับเครื่องเป้าหมายด้วย

จากที่เคยทดสอบมา ผมเห็นว่าบางทีเวลา Scan เครื่องในเครือข่าย ก็จะเจอบางเครื่องที่ IP อยู่ใกล้ๆกันแต่คนละ IP นะ แต่มี MAC Address เดียวกัน...

ออ...และที่สำคัญ...หากทาง server ต้องการค้นหาปลายทางจริงๆเค้าสามารถทำได้กี่วิธีที่จะเจอเรา (หากเราเป็นคนปลอม MAC) เคยลองคิดดูเล่นๆว่า หากเค้าเเยก MAC ได้ว่าใครจริงใครปลอม แล้วส่งไปให้กับองค์กรที่จัดการเรื่องนี้ แล้วส่งต่อไปอีกยังผู้ผลิต Wireless card แล้วเชคอีกว่า wireless card ตัวนี้ MAC นี้เคยผลิตเป็นของยี่ห้อใด ? รุ่นใด ? ใช้กับ Notebook หรือเป็น usb หรืออาไรก็ตามแต่ แล้วส่งต่อไปอีกว่าเคยส่งออกจำหน่ายที่ใด ? มาจนถึงร้านที่ซื้อก็มีการเก็บ log ไว้อีกว่า สินค้ารุ่นนี้ ยี่ห้อนี้เคยขายให้กับใคร วันที่เท่าใด มีบิล มีลายเซนพร้อม...โอ่...หรือจะคิดมากไปเองหว่า... :61:

คงเห็นว่ามี MAC Address ตัวเดียวแต่ 2 IP มา Access (กรณีที่อยู่วงเดียวกัน) แต่ Server คงไม่รู้ว่าเครื่องไหนเป็นเครื่องจริง ยกเว้นจะนำข้อมูลอื่นๆ มาเปรียบเทียบด้วย เช่น IP, Hostname ฯลฯ

ส่วนเรื่องการจะตามจับคนที่ใช้ MAC ปลอม ความคิดเห็นส่วนตัวคือ ต่อให้บังคับใช้พรบ.ฉบับใหม่ทุกคนเคร่งครัดปฏิบัติตามหมดทุกคน การจะตามจับก็ยังยากเลยครับ

ยังไงก็ยืนยันอีกทีครับ มันจะเกิดปัญหาก็ต่อเมื่อมันอยู่ในวงเดียวกันเท่านั้น แต่ถ้าไป Access เครื่องที่อยู่ต่างเน็ตเวิร์กกันไม่น่าจะเกิดปัญหา ถ้าไม่มีการใช้ค่า MAC เกิดขึ้นครับ
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: @...StopeR...@ on December 19, 2007, 01:47:25 AM: ฮู้ว์...เทพเดียร์มาตอบเองเลยวุ้ย... :63:
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: YiM on December 19, 2007, 06:54:00 AM: ปุจฉา - แล้วจะรู้ได้งัยอะว่าปลอม เพราะ driver ของ NIC บางตัวมันสา่มารถให้เปลี่ยน MAC Addr กันได้เลยนะ แล้ว packet ที่ส่งไปก็ไม่ได้บอกว่าเราใช้ NIC ของอะไรอ่า
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: thanachit on December 19, 2007, 06:57:04 AM: หึหึ
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: WingGundamZeroCustom.co.th on December 19, 2007, 10:04:05 AM: Quote from: YiM on December 19, 2007, 06:54:00 AM
ปุจฉา - แล้วจะรู้ได้งัยอะว่าปลอม เพราะ driver ของ NIC บางตัวมันสา่มารถให้เปลี่ยน MAC Addr กันได้เลยนะ แล้ว packet ที่ส่งไปก็ไม่ได้บอกว่าเราใช้ NIC ของอะไรอ่า

วิสัชนา - อย่างที่บอก ถ้าปกติคงไม่รู้ ยกเว้นจะเอาข้อมูลอื่นๆ มาร่วมเปรียบเทียบด้วย เช่น IP, Host, Session บลาๆๆ~~
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: Prototype Shin_amuro Mk-V on December 19, 2007, 10:16:57 AM: ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล :56:
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: MaXXi on December 19, 2007, 01:34:35 PM: Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM
ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล :56:
หรอครับพี่ :08:
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: WingGundamZeroCustom.co.th on December 19, 2007, 03:38:33 PM: Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM
ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล :56:

มุขนายยอดมาก :12: :14:
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: @...StopeR...@ on December 19, 2007, 04:01:20 PM: มาฮาจริงๆ นายชินอามูโร่เนี่ย :56:

งั้นต่ออีกว่า อัตราการสูญเสีย packet ที่มัน error ไปเนี่ย ระหว่างที่เรา spoof MAC ตรงกับเครื่องเป้าหมายแล้วเล่นเนตพร้อมกัน มากน้อยขึ้นอยู่กับปัจจัยอาไรบ้าง ?

แล้วเวลาที่ spoof ไปแล้วเนี่ย จะมีปัญหาอาไรกับเครื่องปลายทางมั้ย ? เพราะบางทีรุ้สึกว่าเล่นๆอยู่แล้วเนตมันตายไปดื้อๆ ไม่รุ้เปนเพราะมีคนเปลี่ยนมาตรงกะเครื่องเรารึเปล่า ? 0_O...
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: YiM on December 19, 2007, 04:10:35 PM: Quote from: Shin_amuro Mk-II Custom on December 19, 2007, 10:16:57 AM
ไม่น่าจับได้นะ MAC จริง MAC ปลอมเนี่้ย สงสัยต้องไปถามบริษัทแอปเปิ้ล :56:

เจ้าพ่อมุขเงียบ มุขเฉียบเหมือนเดิมไม่เปลี่ยนเลยแฮะ
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: WingGundamZeroCustom.co.th on December 19, 2007, 04:14:41 PM: Quote from: @...StopeR...@ on December 19, 2007, 04:01:20 PM
มาฮาจริงๆ นายชินอามูโร่เนี่ย :56:

งั้นต่ออีกว่า อัตราการสูญเสีย packet ที่มัน error ไปเนี่ย ระหว่างที่เรา spoof MAC ตรงกับเครื่องเป้าหมายแล้วเล่นเนตพร้อมกัน มากน้อยขึ้นอยู่กับปัจจัยอาไรบ้าง ?

แล้วเวลาที่ spoof ไปแล้วเนี่ย จะมีปัญหาอาไรกับเครื่องปลายทางมั้ย ? เพราะบางทีรุ้สึกว่าเล่นๆอยู่แล้วเนตมันตายไปดื้อๆ ไม่รุ้เปนเพราะมีคนเปลี่ยนมาตรงกะเครื่องเรารึเปล่า ? 0_O...

ปัจจัยก็คงมีแค่ มันแย่งกันแค่ไหน ถ้าอีกเครื่องไม่คิดจะส่งข้อมูลเลย เราก็สบายแฮ แต่ถ้าแย่งกันส่งข้อมูลล่ะก็ ตีกันตายแน่ๆ ส่วนปัญหาที่จะเกิดขึ้นเรอะ เครื่องเรามีปัญหาอะไร อีกเครื่องมันก็มีปัญหาเหมือนกันนั่นแหล่ะครับ ไม่ต่าง
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: thanachit on December 20, 2007, 09:27:04 PM: คล้ายกับ collision ไหม
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: WingGundamZeroCustom.co.th on December 20, 2007, 10:37:07 PM: Quote from: Bankster at it.kmitl.ac.th on December 20, 2007, 09:27:04 PM
คล้ายกับ collision ไหม

collision คือการชนกันของข้อมูล แต่สำหรับกรณี MAC ซ้ำกันนี้น่าจะเรียกว่า การสับสนกันของข้อมูลมากกว่า ก็คือ ข้อมูลแทนที่จะส่งไปถูกเครื่อง มันกลับส่งไปอีกเครื่องนึงแทน อะไรแบบนี้ครับ
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: Lord of the king on January 10, 2008, 06:01:26 PM: เราว่าน่าจะเกี่ยวกับความฉลาดของ switch ด้วยน้า
เพราะไอพีถ้าคนละไอพี แต่ MAC Address (ต้องเขียนให้เ็ต็มเด๋วโดนเล่น :63:) เหมือนกัน
ต้องที่ SAT เรียนรู้มันก็น่าจะรู้ได้ว่าไอพีสองอัน MAC เดียวกัน ไม่น่าจะเกิดขึ้นได้
ก็อาจจะมีการใส่ทับกัน ทำให้เกิดข้อมูลสูญหายไปได้นะ สำหรับเครื่องที่ถูกทับ
ปล. น่าทดลองเหมือนกันนะเนี่ย ดูว่า CISCO Switch จะเห็นเป็นยังไง
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: thanachit on January 10, 2008, 07:42:24 PM: ใช่น่าทดลอง
แต่ firewall ผมมัน block udp
packet เพราะมันคิดว่า invalid
หลังจาก spoof
--"
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: Prototype Shin_amuro Mk-V on January 13, 2008, 11:07:33 AM: อย่าลืมว่า Switch มันเป็น L2 ไม่รู้จัก IP ครับ
SAT แค่บอกว่า MAC Address นี้เชื่อมต่อเข้ากับพอร์ตไหนอยู่เท่านั้นนะครับ
IP สองเบอร์ที่มี MAC Address ซ้ำกัน Switch ก็ไม่รู้ครับ
ถ้ามี MAC Address อันใหม่โผล่มามันก็จะอัพเดทแทนค่าเดิมที่เคยอยู่ก่อนครับ
ดังนั้นข้อมูลเลย Lost เพราะว่าบางทีมันก็ไปเครื่องนึง บางทีก็ไปอีกเครื่องนึง
แล้วแต่ว่าตอนนั้น Switch จะเก็บ MAC Address ของเครื่องไหนไว้
Title: Re: เปิดประเด็น เรื่องการใช้ MAC Address เดียวกับผู้ที่กำลังออกเนต
Post by: Prototype Shin_amuro Mk-V on January 18, 2008, 10:35:51 AM: อัพเดท เพิ่งรู้ว่า Cisco Switch สามารถกัน ARP Poisoning ได้แล้ว ลองไปอ่านดู
Configuring Dynamic ARP Inspection
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.1/19ew/configuration/guide/dynarp.html

ส่วน ARP Poisoning ก็คือเทคนิคนึงที่เคยโพสไว้นี่แหละ
Quote from: Shin_amuro Mk-II Custom on December 12, 2007, 05:01:10 PM
มันมีวิธีเหมือนกัน (ผ่านการทดลองแล้วกับ Wireless Lan ของหอพักแห่งหนึ่ง)
โดยเราปลอม MAC Address เป็น Gateway แล้วทำตัวเป็น Man in the Middle ครับ
ส่ง ARP Reply กลับไปหา Client ทุกตัว จะทำให้ Client คิดว่าเราคือ Gateway
แล้วทีนี้พอทุกเครื่องส่ง Packet มาหาเรา เราก็ทำหน้าที่เป็นตัว Forward ไปให้ Gateway จริงๆ อีกที
ทีนี้ก็ดักจับ Packet สบายเลยครับ