在所有用于检测MAC 欺骗的技术中,是否有一种可靠且分散的方法可以使我们能够强烈地检测到这种类型的攻击?
一些建议的方法如下:
https://www.cs.dartmouth.edu/~campbell/papers/spoofing.pdf
https://pdfs.semanticscholar.org/d5ef/30919b4f28b82d6fb637e17a5a992f82ecaa.pdf
https://ieeexplore.ieee.org/abstract/document/5723112/
还有更多方法: https ://scholar.google.com/scholar?hl=en&as_sdt=0%2C5&q=mac++spoofing+detection&btnG=
我们听说 MAC 欺骗非常简单。这是否意味着这些检测 MAC 欺骗的方法都不起作用?总的来说,这是否意味着没有办法检测 MAC 欺骗?
通常,无法阻止用户更改其节点的 MAC 地址。剩下的就是检测MAC 欺骗了。
在有线网络上,您可能希望强制执行严格的 MAC 端口关联 - 您只在其分配的端口上接受给定的 MAC,而在给定的端口上您只接受分配的 MAC。我还想非常密切地观察链路状态——在链路断开/启动事件发生后,您不能再信任该链路上的 MAC,该节点可能已被欺骗节点替换。
在允许链路进入网络之前对其进行身份验证的常用方法是 802.1X 端口身份验证。然而,802.1X 有许多攻击向量,并且有许多扩展来防止这种情况——或者更确切地说,使攻击变得更加困难。
在无线网络上,您默认使用 802.1X 身份验证,因此您知道谁正在获得访问权限。MAC 地址在这里对安全几乎没有用处,因为任何人都可以使用任何地址。当然,您可以通过无线电参数监控节点的地理位置,但这对于移动节点是不可能的。
对节点进行指纹识别(通过其操作系统/堆栈)有助于提高标准,但不是 100% 可靠 - 攻击者也可以欺骗它。
你剩下的——取决于你真正需要的安全级别——是一种带有 PKI 或集中管理密钥的加密方法。
在 cisco 设备上,您可以使用 DHCP Snooping、动态 arp 检查和 ip source guard。它基本上保留了一个数据库,其中将哪些 IP 分配给具有哪些 MAC 地址的哪些设备。因此,稍后如果最终用户更改了他的 mac 地址,它将被检测到,如果他们保留旧的 IP 地址,这将有效。
但正如 Zac67 所说,您可以使用 802.1x 通过对用户进行身份验证来首先控制谁可以访问您的网络。这将确保您在验证他们的设备之前验证用户。
或者您可以手动定义某个端口上允许使用的 Mac 地址。