Computerbeveiliging - Hoe je bad guys buiten de deur houdt

mac adres en Linux

06-02-2010, 18:01 door Anoniem, 21 reacties
Goedenavond,

Ik weet niet goed of ik hier een antwoord op mijn vragen kan krijgen maar vanwege de grote toegankelijkheid van dit forum probeer ik het graag.

Ik ben al een tijdje bezig met experimenten rondom het mac adres van mijn laptop. Ik draai Ubuntu 9.04 en ben nu zover dat ik het macadres tijdelijk kan veranderen.
Alles leuk en aardig maar als ik het commando: ifconfig geef dan zie ik 2 verschillende adressen in mac formaat (00:00:00:00:00:00)
Ik kan het eth0 adres veranderen maar het andere adres blijft staan.

VRAAG: Kan iemand mij uitleggen wat dit andere adres is? en als ik het eth0 adres verander is dit dan het uitgaande macadres van mijn laptop? of moet ik een wifi macadres veranderen?
VRAAG 2: Heeft een router ook een mac adres?

Voor de duidelijkheid ik draai dus Ubuntu 9.04 en ga draadloos het internet op via een router.

alvast bedankt voor de hulp.
Reacties (21)
07-02-2010, 19:22 door Anoniem
eth0 is gewoon het eerste (binair dus 0=1, 1=2 enz) netwerkadres van je distro.
Dit heeft niets met je MAC-adres te maken, welk hardware-matig is toegekend door de fabrikant van je netwerkkaart.
08-02-2010, 09:51 door mathijsk
Zonder extra info over waarom je het mac adres zou willen aanpassen, krijg je van mij geen informatie.
08-02-2010, 11:17 door Anoniem
Door mathijsk: Zonder extra info over waarom je het mac adres zou willen aanpassen, krijg je van mij geen informatie.
Wat is dit nou weer voor een reactie? Als je op deze manier denkt hoor je hier echt niet thuis.
08-02-2010, 11:33 door dim
Door Anoniem: als ik het commando: ifconfig geef dan zie ik 2 verschillende adressen in mac formaat (00:00:00:00:00:00)
Normaliter heeft een netwerkkaart maar 1 MAC adres, dat staat achter "HWaddr". Ik gok dat dat andere "adres" helemaal geen MAC adres is, maar iets totaal anders. Kun je een voorbeeld van je ifconfig output pasten, en dat "tweede MAC adres" aanwijzen?

en als ik het eth0 adres verander is dit dan het uitgaande macadres van mijn laptop?
Ja, althans voor die specifieke netwerkkaart.

of moet ik een wifi macadres veranderen?
Dat hangt er vanaf. Heb je ook een eth1, of nog meer netwerkkaarten?

VRAAG 2: Heeft een router ook een mac adres?
Ja, alle apparaten op een netwerk hebben een zo'n adres. Hoe wil je anders ermee communiceren? :)
08-02-2010, 11:40 door bernd
vraag1:
eth0 is je eerste netwerkadaper, een meestal is dat een ethernetkaart. eth1/ath1 zal waarschijnlijk de draadloze adapter zijn.

vraag2: elke netwerkadapter heeft een macadres, een router heeft tenminste twee mac-adressen, voor elke fysiek gescheiden zone eentje.

wat jij probeert is KUCHEKUCHE. zie http://en.wikipedia.org/wiki/KUCHEKUCHE . bedenk dat twee dezelfde mac adressen spannende effecten veroorzaken op je netwerk, omdat alle apparatuur/software aannemen dat alle adressen uniek zijn. uit je vraagstelling maak ik op dat je een accesspoint wil nabootsen; ik ga je daar niet mee helpen.

edit: spontane hoestbui
08-02-2010, 12:22 door Anoniem
Young Padawan must first read his RFC's

Daarnaast weet ik een aantal goede redenen om je MAC adress te wijzigen, en daar zijn er een aantal niet zo zuiver.

Ik kan me de eerste reaktie dan ook voorstellen, van vertel ik niet, maar laten we uitgaan van zuivere bedoelingen. Ik heb inmijn jonge jaren ook het e.e.a. gesloopt om te kijken hoe het werkt, en ook niet alles weer aan de praat gekregen. Ik zou beginnen met het lezen van wat literatuur.

- Eerst denken (en weten waar je mee bezig bent) dan doen.
- Dit klink meer als ehe leuk doen dus ...

Zo krijgen ict'ers een slechte naam. Maar ja sommige OS-en helpen dan ook niet echt.

p.s. een wekker met de snelheid van een stopwatch blijft wel cool.
08-02-2010, 12:53 door mathijsk
Wat is dit nou weer voor een reactie? Als je op deze manier denkt hoor je hier echt niet thuis.

Ik hoor hier prima thuis, ik stel mezelf de vraag waarom de OP dit wil doen en zonder verklaring kom ik dan alleen op mogelijk onfrisse zaken terecht.
Daar werk ik dus niet aan mee. Wanneer er een legitieme reden gegeven zou worden kan ik het zo vertellen.
Dus het is niet 'wat is dat nou weer voor reactie' maar 'voor welk doel is die vraag gesteld?'
08-02-2010, 14:01 door SirDice
Door mathijsk: Ik hoor hier prima thuis, ik stel mezelf de vraag waarom de OP dit wil doen en zonder verklaring kom ik dan alleen op mogelijk onfrisse zaken terecht.
Daar werk ik dus niet aan mee. Wanneer er een legitieme reden gegeven zou worden kan ik het zo vertellen.
Dus het is niet 'wat is dat nou weer voor reactie' maar 'voor welk doel is die vraag gesteld?'
Wat een onzin.. Alsof jij ook maar enige zekerheid hebt dat de reden die hier gepost wordt de werkelijke reden is. Of je vertelt hoe het werkt, of je post gewoon niet. Nu is het net of je alleen maar een beetje interessant over probeert te komen.

Overigens denk ik dat het hier een wireless netwerk interface betreft. Dat tweede adres is waarschijnlijk het BSSID. Een andere mogelijkheid is dat een IPv6 adres aangezien wordt voor MAC adres.
08-02-2010, 14:07 door Thasaidon
Een ifconfig op een linux laat niet alleen je mac adres zien
HWaddr 12:34:56:78:90:AB

maar in dit geval waarschijnlijk ook je IPv6 adres
3ffe:6a88:85a3:08d3:1319:8a2e:0370:7344

Je IPv6 adres veranderen is hetzelfde als je IPv4 adres veranderen. Dit heeft geen diepgaande consequenties.
Dit hoeven niet altijd unieke waarden te zijn (denk aan "private ranges" op LAN segmenten).

Je MAC adres veranderen is niet raadzaam. Dit zijn namelijk wel unieke identifiers van netwerk interfaces.
Daarom heeft ook iedere netwerk interface een MAC adres. Dus zowel je interface op je laptop, als die van je router.
Volgens mij zou daarom ook het HWaddr zowel met een ifconfig als iwcofng gelijk moeten zijn voor dezelfde interface, maar dat weet ik niet zeker uit m'n hoofd.

Maar ik denk dat een basis cursus TCP/IP hier wel goed zou zijn als je toch met dit soort dingen wil "spelen".

---off topic---
Draait Backtrack 4 niet op Ubuntu 9.04? :) :) :) :)
---off topic---
08-02-2010, 15:47 door Anoniem
Omdat niemand echt antwoord geeft op je vraag:
Edit het bestand /etc/network/interfaces met root rechten.
De volgende config zou het MAC-adres van je wired network card moeten aanpassen. Dit gebeurd iedere keer wanneer je opstart.
auto eth0
iface eth0 inet dhcp
hwaddress ether 00:00:00:00:00:00

Het verschil tussen het HWadress (= MAC-adres) van eth0 en bijv. wlan0 is dat eth voor bekabelt verkeer is en wlan voor draadloos.

Verder kan het heel handig zijn je MAC-adres te spoofen, soms scheelt dit veel tijd in andere configuratiebestanden aan te passen.
08-02-2010, 18:44 door Anoniem
vraagje:
is "ik wil op openbare netwerken zonder identificeerbaar te zijn" een evil reden om je MAC adres aan te passen? De kans dat je een conflict krijgt met iets anders op datzelfde netwerk is zo enorm klein, dus schade doe je er niet mee.

Piet
08-02-2010, 19:42 door Thasaidon
Ik zie net dat alleen de ifconfig je MAC adres van je kaart laat zien. iwconfig dus niet, dat is het MAC adres van je accesspoint waarme je connected bent.
eth1 Link encap:Ethernet HWaddr 09:98:87:76:65:54
inet addr:10.0.0.15 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: 1234::567:abcd:efgh:123/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:324580 errors:1 dropped:1 overruns:0 frame:0
TX packets:122627 errors:0 dropped:5 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:361588331 (361.5 MB) TX bytes:8681102 (8.6 MB)
Interrupt:17 Base address:0x8000 Memory:dfdf9000-dfdf9fff

eth1 IEEE 802.11g ESSID:"*****"
Mode:Managed Frequency:2.452 GHz Access Point: 12:23:34:45:56:67
Bit Rate:54 Mb/s Tx-Power=20 dBm Sensitivity=8/0
Retry limit:7 RTS thr:off Fragment thr:off
Power Management:off
Link Quality=94/100 Signal level=-33 dBm Noise level=-92 dBm
Rx invalid nwid:0 Rx invalid crypt:1 Rx invalid frag:0
Tx excessive retries:11 Invalid misc:0 Missed beacon:2

@Anoniem hierboven, een ethX is niet altijd bekabelt. Mijn eth1 is namelijk mijn interne Intel Wireless kaart.
08-02-2010, 21:18 door Bitwiper
Normaal gesproken wordt elke ethernetkaart uitgeleverd met een ROM (of flash geheugen) met daarin een wereldwijd uniek MAC adres (ook bekend als Ethernet adres). Voor het verzenden van ethernetpakketten heeft elke kaart een stuk RAM geheugen waarin (normaal gesproken) de driver het gehele te verzenden pakket kopieert. Daarbij wordt door die driver het afzenderadres overschreven, normaal gesproken met het adres in ROM, maar dit kan bijv. ook uit een stukje CMOS geheugen, een configuratiebestandje of uit de registry afkomstig zijn. In tegenstelling tot wat veel mensen denken is zo'n afzenderadres dus allesbehalve fixed.

Ook op Windows PC's is het vaak niet moeilijk om het MAC adres te wijzigen (pas als je het bewust in dat van een ander op het netwerk aanwezige MAC adres verandert is er sprake van spoofing). Je moet wel een heel stomme script kiddie zijn wel je de tools hiervoor niet kunnen vinden. Bij veel Intel NIC's is het trouwens een waarde die je gewoon in een driver-dialogbox kunt wijzigen.

Er is een serie Asus moederborden in omloop (geweest) met een NVidia netwerkchipset waarbij het MAC adres naar een factory default waarde werd teruggezet na een CMOS reset (Google: asus duplicate mac address)(of Google: 04:4b:80:80:80:03).

Overigens kan 1 netwerkkaart probleemloos pakketten versturen met verschillende afzender MAC adressen. Da's heel normaal als je een virtual machine draait. De kans op conflicten op je netwerk door identieke MAC adressen neemt daardoor overigens wel toe. Zie bijv. http://www.vmware.com/support/ws55/doc/ws_net_advanced_mac_address.html.

Wellicht dat ook een slecht geprogrammeerde rootkit meer dan 1 MAC adres laat zien op 1 netwerkkaart....

PS ga je experimenteren met afzender MAC adressen, vermijd dan die adressen waarbij de meest linkse byte oneven is zoals in Thasaidon's eth1 adres hierboven: 09:98:87:76:65:54 (ik laat het aan de lezer over om te beredeneren waarom ;)
08-02-2010, 22:13 door Anoniem
Door Bitwiper: PS ga je experimenteren met afzender MAC adressen, vermijd dan die adressen waarbij de meest linkse byte oneven is zoals in Thasaidon's eth1 adres hierboven: 09:98:87:76:65:54 (ik laat het aan de lezer over om te beredeneren waarom ;)
Nu maak je me wel nieuwsgierig... Het enige wat ik kan bedenken heeft te maken met signed en unsigned nummers, maar dit lijkt me niet waarschijnlijk.
08-02-2010, 22:34 door Anoniem
$ apt-get install macchanger :))

$ macchanger -r ( eth0 of wlan0 )

En lekker illegaal blijven doen :)))

Ander mac = ander ID
Ander mac = ander ip adres
09-02-2010, 09:10 door SirDice
Door Anoniem:
Door Bitwiper: PS ga je experimenteren met afzender MAC adressen, vermijd dan die adressen waarbij de meest linkse byte oneven is zoals in Thasaidon's eth1 adres hierboven: 09:98:87:76:65:54 (ik laat het aan de lezer over om te beredeneren waarom ;)
Nu maak je me wel nieuwsgierig... Het enige wat ik kan bedenken heeft te maken met signed en unsigned nummers, maar dit lijkt me niet waarschijnlijk.
Het sign bitje is de MSB niet de LSB van een byte ;)

http://standards.ieee.org/regauth/groupmac/tutorial.html
09-02-2010, 10:20 door Bitwiper
Door Anoniem: Nu maak je me wel nieuwsgierig... Het enige wat ik kan bedenken heeft te maken met signed en unsigned nummers, maar dit lijkt me niet waarschijnlijk.
Een misschien wat duidelijker plaatje dan waar SirDice naar verwijst vind je hier: http://en.wikipedia.org/wiki/MAC_address#Address_details
09-02-2010, 19:35 door Anoniem
Door Anoniem: eth0 is gewoon het eerste (binair dus 0=1, 1=2 enz) netwerkadres van je distro.
Dit heeft niets met je MAC-adres te maken, welk hardware-matig is toegekend door de fabrikant van je netwerkkaart.
Om maar even met de eerste reactie te beginnen, dit is mij geheel duidelijk. Ik bedoel dus dat er na het commando ifconfig eth0 staan met een HWadres erachter. Dat dit niets met een mac adres te maken heeft spreekt voor zich, maar dit terzijde.

Ik heb deze vraag gepost puur en alleen omdat ik graag dingen probeer en test. Ik heb in eerste instantie nog overwogen om mijn motivatie voor deze vraag nog mee te geven maar heb dit niet gedaan omdat ik gewoon een vraag wilde stellen zonder me te verantwoorden. Ik had natuurlijk op zinloze reacties zoals 'ik weet het wel maar ik zeg het niet' of 'Zonder extra info over waarom je het mac adres zou willen aanpassen, krijg je van mij geen informatie' kunnen wachten. Plaats dan liever geen reactie want hier heeft niemand iets aan.
Mijn dank voor de zinnige antwoorden. Ik zal er mijn voordeel mee doen.
09-02-2010, 22:50 door Anoniem
PS ga je experimenteren met afzender MAC adressen, vermijd dan die adressen waarbij de meest linkse byte oneven is zoals in Thasaidon's eth1 adres hierboven: 09:98:87:76:65:54
Als je IGMP op de switch gebruikt zie ik daar geen probleem mee ;-).

Ik herinnner me ook nog dat bij oudere Sun systemen elke netwerkkaart in een machine bij default hetzelfde MAC adres had, dwz elke machine had een uniek MAC adres maar als je er meerdere kaarten instopte kregen die allemaal het MAC adres van de onboard interface toegewezen. Dat was geen bug maar by design.
11-02-2010, 10:07 door Anoniem
Door Anoniem: eth0 is gewoon het eerste (binair dus 0=1, 1=2 enz) netwerkadres van je distro.
Dit heeft niets met je MAC-adres te maken, welk hardware-matig is toegekend door de fabrikant van je netwerkkaart.

ik denk niet dat binair betekent wat jij denkt dat het betekent (de nummering van ethX is in ieder geval niet binair, en binair 1 != decimaal 2 )

het MAC adres wordt gebruikt om pakketjes af te leveren op een lokaal netwerk (middels het ARP protocol worden ip-adressen aan MAC-adressen gekoppeld). Ieder netwerkdevice (niet op machine-niveau, maar elke netwerkdevice). In principe zijn MAC-adressen wereldwijd uniek (enkele uitzonderingen en fabrieksfouten daargelaten), en je kunt aan de prefix zelfs zien van welke fabrikant je chipset is. Je kunt ze veranderen, maar daar heb je meestal niets aan, het macadres is niet zichtbaar buiten het lokale netwerk. Geef twee kaarten ook nooit hetzelfde adres, want dan weten je machines niet meer waar ze hun pakketjes heen moeten sturen, een goede manier om je netwerk op hol te laten slaan.

Afhankelijk van hoe je internetaansluiting is heeft je 'buitenkant' ook een mac-adres, en daar wordt dan waarschijnlijk door de ISP gebruik van gemaakt om je verbinding tot stand te brengen en je een extern IP-adres te geven. Als dat zo is kun je hem beter niet veranderen :) Maar dat adres verlaat je 'wijk' dan ook weer niet.
11-02-2010, 19:37 door Anoniem
vraagje:
is "ik wil op openbare netwerken zonder identificeerbaar te zijn" een evil reden om je MAC adres aan te passen? De kans dat je een conflict krijgt met iets anders op datzelfde netwerk is zo enorm klein, dus schade doe je er niet mee.
Piet

Daar valt nog weinig over te zeggen dan. Identificeerbaar via je mac adres ben je pas wanneer je iets illegaals hebt gedaan via die hotspot, je verdachte bent en ze op de nic van jouw laptop het bewuste mac adres aantreffen.
Wanneer jij een openbaar netwerk gebruikt zonder aanleiding te geven het mac adres aan jouzelf te koppelen, zullen er weinig zijn die daar moeite voor doen.

Het ligt er dus helemaal aan wat jouw reden is om met een gespoofed mac adres gebruik te maken van een publiek netwerk. De kans dat er een conflict zal optreden is inderdaad erg klein.
Een technische reden om het te laten is er dus niet echt, de vraag waarom je het wel zou doen blijft echter interessant.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.