Frage zu Mac-Adressenfälschung

[Zergo]

Hallo !

Bin neu hier im Forum.Ich lese schon ein Paar Wochen hier mit und habe mich jetzt angemeldet und auch gleich eine Frage an Euch.
Es geht mir um die Theorie was passiert wenn man sich z.B.auf ein fremdes WLAN connectet welches u.A. einen MAC-Adressenfilter verwendet.Soweit ich gelesen habe soll es Tools geben die eine Mac-Adresse quasi fälschen.Angenommen man fälscht dann diese MAC-Adresse,aber der Rechner mit der Originalen MAC-Adresse ist ebenfalls in Betrieb was genau passiert dann ? Es müßte doch dann rein logisch einen Netzwerkfehler o.ä.geben,denn der Router weiss ja dann nicht an welchen PC er die Pakete schicken soll.Wenn meine Theorie stimmt,dann würde ein MAC-Adressenfilter in einem WLAN doch einen höheren Schutz für das Netzwerk bieten,denn so könnte der Angreifer nur auf Rechner zugreifen dessen MAC-Adresse er nicht gerade fälscht.Ist nur ein Rechner im WLAN/LAN hat er quasi dann schlechte Karten den Rechner lokal zu attackieren.Er kann bestenfalls dann die Internetverbindung nutzen.Mich würde interessieren,ob meine Theorie stimmt oder ob ich evtl.etwas übersehen,nicht bedacht habe oder einfach einen Gedankenfehler mache.

Viele Grüße
Holger

 

[jagdfalke]

Wenn meine Theorie stimmt,dann würde ein MAC-Adressenfilter in einem WLAN doch einen höheren Schutz für das Netzwerk bieten,denn so könnte der Angreifer nur auf Rechner zugreifen dessen MAC-Adresse er nicht gerade fälscht.

Hast du ne Ahnung wieviele verschiedene MAC-Adressen da draußen rumschwirren? (Alle sind verschieden) Jetzt rechne dir mal die Wahrscheinlichkeit aus mit der eine zufällig generierte MAC mit der in einem WLAN übereinstimmt. Meinst du die Frage ist relevant? Die Wahrscheinlichkeit ist kleiner als ein 6er im Lotto mit Superzahl.

Falls es passiert, glaube ich (Vermutung), dass beide PC's sich connecten können. Da dürfte nix passieren. Wenn ein Rechner auf einen anderen mit der selben MAC zugreifen will sollte das auch klappen, denn die Verbindung zum WLAN steht und solche Kommunikationen funktionieren ja eh über IP.

Bitte berichtigt mich, wenn ich hier falsch liege.

mfg
jagdfalke

 

[BattleMaker]

Er meinte doch, dass sich der Angreifer per Tool (z.B. SMac) dieselbe MAC-Addresse ergaunert, wie ein berechtigter PC des Opfers.
Oder hab ich jetzt was falsch verstanden.

MfG, BattleMaker

 

[jagdfalke]

Achso, wenn das richtig ist, vergiss den ersten Teil meiner Antwort.

mfg
jagdfalke

 

[sfil]

zergos idee stimmt soweit schon, aber auch nur so halb.
oftmals ist es so, dass der switch/router die pakete dann an den nächst schnellen port weiterleitet, also der die wenigsten hops hat. es kann auchmal vor kommen, dass pakete mal an eine karte gesendet werden, und mal an ne andere.
dadurch, dass es mehrere macadressen im einem netz gibt, ist eine hohe fehlerdichte im netz welches zu unerklärlichen problemen führen kann.
ich würde diese idee also praktisch nie ausführen. oder hat da jemand ne andere meinung zu?

Gruß sfil

 

[Zergo]

@Jagdfalke

Ja genau so meinte ich es wie BattleMaker es sagt.
Ich hab über das was Sfil gesagt hat nochmals nachgedacht.Könnte es sein,daß dann ggf.der ARP-Cache des Routers/Switches entscheidet an welchen Port er die Pakete weiterleitet ?

 

[ntoythi]

Original von Zergo
.Könnte es sein,daß dann ggf.der ARP-Cache des Routers/Switches entscheidet an welchen Port er die Pakete weiterleitet ?

Ein Switch merkt sich normalerweise nicht, welche MAC-Adressen über welche Ports erreichbar sind, sondern nur welche IP-Adressen an welchen Ports hängen. Und im Falle eines WLANs hast du ja sowieso ein shared-medium (entspricht nem Hub), wo jeder Rechner ersteinmal alle Pakete bekommt (aber im Standardfall nur die für ihn bestimmten annimmt). Meine Theorie dazu:

Fall 1:
2 Clients mit derselben MAC aber unterschiedlichen IPs an unterschiedlichen Switch-Ports. Hier entscheidet der ARP-Cache bzw. welche ARP-Response auf eine ARP-Broadcasts zuletzt ankam überschreibt den vorherigen Eintrag
Fall 2:
2 Clients mit derselben MAC aber unterschiedlichen IPs in einem Shared-Medium (WLan oder Hub). Hier ist es mehr oder weniger egal was im ARP-Cache steht, da beide Netzwerkkarten sich mit "ihrer" MAC angesprochen fühlen. Gut, normalerweise verwirft das OS dann die Pakete, wo die IP nicht übereinstimmt, aber das ist ein Level darüber.
Fall 3:
2 Clients mit derselben MAC und denselben IPs im switched Network. Hier gibts Chaos, da das Switch normalerweise eine IP immer einem Port zuordnet. In der Praxis dürfte es hier so aussehen, dass mal der eine, mal der andere adressiert wird (je nachdem wo das Switch gerade denkt auf welchem Port die IP hängt).
Fall 4:
2 Clients mit dersleben MAC und denselben IPs im shared Network. Hier gibts totales Chaos, da jeder Client sich bei allen Ethernet-Paketen erstmal angesprochen fühlt und entsprechend antwortet. Allerdings kann trotzdem immer nur einer von den Clients korrekt Verbindungen aufbauen, da auf TCP-Ebene die Sequence-Nummern sicherlich bei den beiden Clients nicht übereinstimmen...

Naja soweit die Theorie...

 

[benwilliam]

alsonam wahrscheinlichsten tritt doch fall 4 auf. Also ich kenn das jedenfalls so dass wenn schon MAC-AdressenFilter aktiv ist, dann wird auch zujeder MAC-Adresse eine IP festgelegt, also wenn man die MAC-fälscht bekommt man auch immer die selbe IP -> 4 Fall