MAC地址加密

Question

我是一个信息技术的学生，我正在做一个通过使用MAC加密来避免MAC欺骗的项目。

我的目标是加密数据包内的MAC地址，并通过WiFi网络将该数据包发送到路由器。

在路由器端，我想解密数据包中的MAC地址，并以这样的方式存储它，使任何未经授权的用户都看不到该MAC地址，从而避免MAC欺骗。

我想知道是否可以加密MAC地址，以及是否有可能在路由器端解密该MAC地址？

Answer 1

您不能加密MAC地址本身和“发送该数据包到路由器”- MAC是必需的，使数据包能够到达路由器，并使路由器能够发送数据包回来。根本不可能“隐藏”MAC地址。

虽然理论上可以使用加密原语来验证数据包-MAC配对的有效性，但就我所知，这些协议目前并不支持这种签名(与加密相关)。我认为您会发现，任何处理此问题的人都是在更高级别的传输(IPSec)或应用程序(HTTPS)中这样做的。尤其是因为物理层的任何身份验证都是不可路由的；MAC地址仅在本地网络中具有重要意义，而为保护它所做的任何工作都不会超过一跳。

作为练习，请允许我建议您在至少两个路由跳期间执行流量包捕获(例如，在web客户端，在web服务器，在中间的路由器)。看看相关的MAC地址。它们改变了，与发送者或接收者没有权威关系。采取你所建议的措施来保护他们将是不适用的。

Answer 2

我看不出如何根据网络基础来实现这一目标。

为了对MAC进行加密，需要在通信双方之间进行密钥交换，这意味着即使您可以重写IPv4 / TCP/IP来对MAC进行加密，该MAC仍将在网络上某个未加密的点进行传输。

IPv6在支持实现安全性方面做得更好：

机密IPSec通信是加密的。没有加密密钥，无法解密捕获的IPSec通信量。使用共享加密密钥对身份验证IPSec通信量进行数字签名，以便接收方能够验证它是由IPSec对等方发送的。数据完整性IPSec通信包含一个包含加密密钥的加密校验和。接收方可以验证数据包在传输过程中没有被修改。

来源：http://technet.microsoft.com/en-us/library/cc775898(v=ws.10).aspx

您还可以在这里找到关于IPv6特性的更多信息：http://www.sans.org/reading-room/whitepapers/protocols/security-features-ipv6-380