可靠的MAC欺骗的“分散”方法？

Question

在所有用于检测MAC欺骗的技术中，是否有一种可靠和分散的方法来检测这种攻击？

所提议的一些办法如下：

https://www.cs.dartmouth.edu/~campbell/papers/spoofing.pdf

https://pdfs.semanticscholar.org/d5ef/30919b4f28b82d6fb637e17a5a992f82ecaa.pdf

https://ieeexplore.ieee.org/abstract/document/5723112/

以及更多的方法：https://scholar.google.com/scholar?hl=en&as_sdt=0%2C5&q=mac++spoofing+detection&btnG=

我们听得太多了，MAC欺骗非常简单。这是否意味着那些检测MAC欺骗的方法不起作用？一般来说，这是否意味着没有办法检测到MAC欺骗？

Answer 1

通常，无法阻止用户更改节点的MAC地址。你只剩下发现MAC欺骗了。

在有线网络上，您可能希望执行严格的MAC端口关联--您只接受指定端口上的给定MAC，而在给定端口上只接受分配的MAC。我还想非常密切地观察链接状态--在链接下降/向上事件发生后，您不能再信任该链接上的MAC，该节点可能已被欺骗节点替换。

在允许链路进入网络之前对它们进行身份验证的一种常见方法是802.1X端口身份验证。然而，802.1X有许多攻击矢量，并且有许多扩展来防止这种情况--或者说，增加了攻击的难度。

在无线网络中，默认情况下使用802.1X身份验证，因此您知道谁正在获得访问权限。在这里，MAC地址对安全性来说几乎毫无用处，因为任何人都可以使用任何地址。当然，您可以通过无线参数监视节点的地理位置，但这在移动节点中是不可能的。

指纹一个节点(通过它的OS/堆栈)有助于提高标杆，但并不是100%可靠的--攻击者也可能欺骗它。

剩下的--取决于您真正需要的安全级别--是一种具有PKI或集中管理密钥的加密方法。

Answer 2

在cisco设备上，您可以使用DHCP窥探、动态arp检查和ip源保护。它基本上保存了ip分配给有什么mac地址的设备的数据库。因此，如果一个终端用户更改了他的mac地址，它将被检测到，如果他们保留他们的旧ip地址，这是可行的。

但是正如Zac67所说，通过对用户进行身份验证，您可以使用802.1x来控制谁首先可以访问您的网络。这将确保在对用户的设备进行身份验证之前对其进行身份验证。

或者，您可以手动定义某个端口上允许的Mac地址。

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/dot1x.html

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SX/configuration/guide/book/dynarp.html