janvier 14, 2021
Articles
Aucun commentaire

Puis-je bloquer en fonction de ladresse MAC?

Si je bloque une adresse IP, lattaquant peut contourner le blocage en prenant une nouvelle adresse IP ou en utilisant un proxy. Est-il possible de faire une interdiction basée sur ladresse MAC? Je souhaite bloquer au niveau du serveur Web afin que les utilisateurs indésirables ne créent pas de trafic inutile vers le site.

Ladresse MAC est-elle envoyée dans le cadre dune requête HTTP?

Commentaires

  • Demandez-vous spécifiquement sur le blocage des requêtes HTTP sur le serveur Web? le filtrage de laccès à un point wifi? un autre type de réseau? La question nest pas très claire.
  • @Avid: Oui Requête HTTP sur le serveur Web
  • Vous pouvez bloquer en fonction de ladresse MAC, mais je ne peux ' imaginer comment cela pourrait aider Ladresse MAC serait celle de votre propre routeur. Les adresses MAC sont une chose LAN, pas Internet.
  • @fabianhjr: Done 🙂

Réponse

Non, ladresse MAC nest pas envoyée sur les en-têtes. Difficile, vous voudrez peut-être vérifier: https://panopticlick.eff.org/

Réponse

En bref , la réponse est non , vous ne pouvez généralement pas « t bloquer en fonction de ladresse MAC. Et si vous le pouviez, ce serait inutile. Pour comprendre pourquoi, vous devez savoir une chose ou deux sur le fonctionnement dInternet.

La communication entre les appareils se fait généralement via le protocole Ethernet (wiki) , et ce malgré la source et la destination étant identifié par IP, la communication réelle se fait par MAC. Imaginez le réseau suivant:

Si le client veut envoyer un paquet au serveur, il vérifie dabord si le serveur est dans le même sous-réseau. Non, le serveur a une IP 10.x, et le client un 192.168. x IP. Le client lenvoie ensuite à son routeur, R1, dans lespoir que il pourra le transmettre à la destination. Le paquet contient: 

Source IP: 192.168.1.100 (belongs to: Client) Destination IP: 10.1.1.1 (belongs to: Server) Source MAC: 01:01:01:02:02:02 (belongs to: Client) Destination MAC: 02:01:01:02:02:02 (belongs to: R1)

Alors R1 est comme « Oh, cette IP est quelque part sur Internet ». Il change ladresse IP source en IP publique (afin que le serveur puisse renvoyer un paquet) et la transmet à R2. Le paquet contient maintenant: 

Source IP: 172.16.1.1 (public IP from R1) Destination IP: 10.1.1.1 (belongs to: Server) Source MAC: 02:01:01:02:02:02 (belongs to: R1) Destination MAC: 03:01:01:02:02:02 (belongs to: R2)

Comme vous pouvez le voir, ladresse IP de destination ne change pas, mais les adresses MAC changent chaque fois quelle est transmise (par un routeur) en fonction du routeur vers lequel il est transféré et de quel routeur il provient.

À lavenir, R2 ne modifiera aucune des adresses IP telles que R1 parce quil ne sagit pas dun routeur NAT (comme la plupart des consommateurs lont fait). R2 ne fera que transmettre le paquet.

En fin de compte, le serveur ne pourra voir que ladresse MAC de R3. Pour que la communication fonctionne, cest tout ce quil a besoin de savoir en plus de lIP dorigine de R1. (Lorsquun paquet de réponse revient à R1, dautres choses font en sorte que le paquet trouve son chemin vers le client.) Si vous voulez savoir pourquoi toutes les communications ne sont pas simplement basées sur MAC, jetez un œil à cette question sur serverfault .

Une exception à cette correspond au fait que le client se trouve dans le même LAN que le serveur. Comme je lai mentionné, le client compare dabord le sous-réseau IP de lui-même et la destination. Si cest la même chose (par exemple 192.168.1.101 et 192.168.1.44, sur un sous-réseau / 24), la communication est basée sur ladresse MAC. Le client diffusera un message sur le LAN, demandant le MAC appartenant au serveur « s IP, puis envoyez-le à ce MAC. Le paquet contiendra toujours ladresse IP de destination, mais il ny a pas de routeur entre les deux. (Il peut y en avoir, mais alors il agira comme un commutateur ou un concentrateur, pas comme un routeur.) Mais ce nest probablement pas le scénario que vous aviez en tête.

Si vous pouviez déterminer le MAC, ce serait une assez grosse violation de la confidentialité. Étant donné que votre adresse MAC vous identifie sans doute de manière unique sur le globe, les réseaux publicitaires nauraient aucun problème à vous suivre, même sans cookie de suivi ou toute autre méthode.

Blocage un attaquant par MAC reviendrait à le bloquer par le cookie car il est contrôlé par le client. Actuellement, cela na presque jamais changé car il ny a presque jamais de raison de le faire, mais si vous pouviez déterminer et bloquer un attaquant par MAC, il pourrait simplement le changer. Une adresse IP doit être globalement reconnue pour être routable, mais un MAC na pas ce problème.

De plus, un attaquant pourrait bloquer les clients dont il connaît le MAC en usurpant cette adresse MAC puis en déclenchant le blocage. Quiconque utilise réellement cette adresse MAC ne pourra pas utiliser le service.

Conclusion: Si cétait possible, ce serait plutôt inefficace et en introduisant une vulnérabilité DoS, mais puisque vous ne pouvez pas « faire en sorte que le client envoie le MAC avec les en-têtes HTTP ou quelque chose, ce nest tout simplement pas possible en dehors du même LAN.

Réponse

Les adresses MAC source (couche 2) afficheront uniquement le dernier routeur pour transmettre le paquet.

Commentaires

  • Comme addendum: parfois les FAI ' limitent le nombre dutilisateurs à un ou plusieurs points finaux. Cependant, cela peut être facilement contourné en configurant un routeur interne ou, comme la dit @AviD, en modifiant ladresse MAC.

Réponse

Je ne sais pas à quoi fait référence cette question – blocage des requêtes HTTP sur le serveur Web? filtrage de laccès à un point wifi? Pare-feu et routage?

Mais peu importe si vous pouvez ou ne peut pas bloquer en fonction de ladresse MAC, une meilleure question est devriez bloquer.
Et la réponse simple est: Non .

En termes simples, les adresses MAC peuvent facilement être modifiées et / ou usurpées, et sont totalement sous le contrôle de lutilisateur final (daccord, presque complètement ). Donc, il est inutile dessayer dimplémenter un type de contrôle basé sur cela.

Commentaires

  • Comment pouvez-vous changer un MAC Adresse sans changer la carte réseau?
  • @Geek – il est possible de changer ladresse MAC avec un logiciel, cela dépend du système dexploitation. Par exemple, dans Windows, il existe une clé de registre contenant ladresse MAC, sur * nix se fait via la commande " ifconfig ". Cependant, certaines cartes permettent de changer ladresse matérielle elle-même.
  • @Geek: la plupart des cartes réseau prennent en charge la configuration manuelle dune adresse usurpée. Cest à dire. " Adresse gérée ". Également via les paramètres du système dexploitation, selon.

Réponse

oui vous pouvez. Utilisez une liste daccès Mac sur un commutateur …

http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_example09186a0080470c39.shtml

Commentaires

  • Lisez la question entièrement. Votre réponse sapplique à un réseau local, mais vous pouvez ' bloquer nimporte quelle adresse MAC dans le monde avec ce commutateur. De plus, cela a déjà été abordé dans ma réponse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *