MACアドレスに基づいてブロックできますか?

IPをブロックすると、攻撃者は新しいIPを取得するか、プロキシを使用してブロックを回避できます。 MACアドレスに基づいて禁止することは可能ですか?不要なユーザーがサイトへの不要なトラフィックを作成しないように、ウェブサーバーレベルでブロックしたい。

MACアドレスはHTTPリクエストの一部として送信されますか?

コメント

  • WebサーバーでのHTTPリクエストのブロック、wifiポイントへのアクセスのフィルタリング、その他の種類のネットワーキングについて具体的に質問していますか?質問はあまり明確ではありません。
  • @Avid:はいWebサーバーでのHTTPリクエスト
  • MACアドレスに基づいてブロックすることはできますが、'それがどのように役立つか想像できませんMACアドレスは自分のルーターのアドレスになります。MACアドレスはLANのものであり、インターネットのものではありません。
  • @fabianhjr:完了:-)

回答

いいえ、MACアドレスはヘッダーで送信されません。難しいですが、次のことを確認してください: https://panopticlick.eff.org/

回答

要するに、答えは no 、通常はMACアドレスに基づいてブロックすることはできません。できれば役に立たないでしょう。理由を理解するには、何かを知っている必要があります。インターネットの仕組みについて2つ。

デバイス間の通信は通常、送信元と宛先に関係なく、イーサネットプロトコル(wiki)を介して行われます。 IPによって識別され、実際の通信はMACごとに行われます。次のネットワークを想像してください:

クライアントがサーバーにパケットを送信する場合、最初にサーバーが同じサブネット内にあるかどうかを確認します。いいえ、サーバーには10.x IPがあり、クライアントには192.168。 x IP。次に、クライアントはそれを自分のルーターR1に送信します。宛先に転送できるようになります。パケットには次のものが含まれます。

Source IP: 192.168.1.100 (belongs to: Client) Destination IP: 10.1.1.1 (belongs to: Server) Source MAC: 01:01:01:02:02:02 (belongs to: Client) Destination MAC: 02:01:01:02:02:02 (belongs to: R1) 

次に、R1は、「ああ、そのIPはインターネット上のどこかにあります」のようなものです。ソースIPをパブリックIPに変更し(サーバーがパケットを送り返すことができるように)、それをR2に転送します。パケットには次のものが含まれています。

Source IP: 172.16.1.1 (public IP from R1) Destination IP: 10.1.1.1 (belongs to: Server) Source MAC: 02:01:01:02:02:02 (belongs to: R1) Destination MAC: 03:01:01:02:02:02 (belongs to: R2) 

ご覧のとおり、宛先IPは変更されませんが、MACアドレスは転送されるたびに変更されます( router)転送先のルーターと送信元のルーターに基づきます。

先に進むと、R2

は、NATルーターではないため(ほとんどの消費者がそうであるように)、そうしました。R2は単にパケットを転送します。

最終的に、サーバーはR3からのMACアドレスのみを見ることができます。通信が機能するために必要なのは、R1からの元のIP以外に知っておく必要があることだけです。 (応答パケットがR1に戻ってきたら、他のことでパケットがクライアントに確実に届くようにします。)すべての通信が単にMACベースではない理由を知りたい場合は、 サーバー障害に関するこの質問をご覧ください。

この

は、クライアントがサーバーと同じLAN内にある場合です。前述したように、クライアントは最初に自身のIPサブネットと宛先を比較します。同じ場合(たとえば、/ 24サブネットの場合は192.168.1.101と192.168.1.44)、通信はMACアドレスに基づいています。クライアントはLAN上でメッセージをブロードキャストし、サーバーに属するMACを要求します。のIPを送信し、そのMACに送信します。パケットには引き続き宛先IPが含まれますが、2つの間にルーターはありません。 (あるかもしれませんが、ルーターとしてではなく、スイッチまたはハブとして機能します。)しかし、これはおそらくあなたが考えていたシナリオではありません。

MACを特定できれば、これはかなり大きなプライバシー侵害になります。あなたのMACアドレスは間違いなく地球上であなたを一意に識別するので、広告ネットワークは、Cookieやその他の方法を追跡しなくても、問題なくあなたを追跡できます。

ブロックMACによる攻撃者は、クライアントによって制御されているため、cookie によって攻撃者をブロックするのと同じです。現在、理由がほとんどないため、変更されることはほとんどありませんが、MACによって攻撃者を特定してブロックできれば、攻撃者は簡単に変更できます。ルーティング可能にするには、IPアドレスをグローバルに認識しなければなりませんが、MAC

また、攻撃者は、MACアドレスをスプーフィングしてブロックをトリガーすることにより、MACを知っているクライアントをブロックする可能性があります。そのMACアドレスを実際に使用する人は誰でも、サービスの使用を禁止されます。

結論:可能であれば、それはかなり効果がなく、DoS脆弱性を導入しますが、クライアントにHTTPヘッダーなどと一緒にMACを送信させることはできないため、同じLANの外部では不可能です。

回答

送信元MACアドレス(レイヤー2)は、パケットを転送するための最後のルーターのみを表示します。

コメント

  • 補遺として:ISP 'がユーザー数を1つまたは複数に制限している場合がありますエンドポイント。ただし、これは、内部ルーターを設定するか、@ AviDが言っているように、MACアドレスを変更することで簡単に回避できます。

回答

この質問が何を指しているのかわからない-WebサーバーでのHTTPリクエストのブロック?wifiポイントへのアクセスのフィルタリング?ファイアウォールとルーティング?

ただし、できるかどうかは関係ありません。または、MACアドレスに基づいてブロックできない場合は、ブロックする必要があります
簡単な答えは次のとおりです。いいえ

簡単に言えば、MACアドレスは簡単に変更したり、スプーフィングしたりでき、エンドユーザーを完全に制御できます(大丈夫、ほぼ )。したがって、それに基づいて任意のタイプの制御を実装しようとしても意味がありません。

コメント

  • MACを変更するにはどうすればよいですか。ネットワークカードを変更せずにアドレスを指定しますか?
  • @ Geek-OSに応じてソフトウェアでMACアドレスを変更することができます。たとえば、WindowsにはMACアドレスを保持するレジストリキーがあり、* nixでは" ifconfig "コマンドを使用して実行されます。ただし、一部のカードではハードウェアアドレス自体を変更できます。
  • @Geek:ほとんどのネットワークカードは、なりすましアドレスの手動設定をサポートしています。つまり"管理アドレス"。また、OSの設定によっても異なります。

回答

はい。スイッチでMacアクセスリストを使用する…

http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_example09186a0080470c39.shtml

コメント

  • 質問を完全に読んでください。あなたの答えはLANに当てはまりますが、'このスイッチで世界中のMACアドレスをブロックすることはできません。また、これはすでに私の回答でカバーされています。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です