• 在无线网络中，信号通过空气传播；任何人都可以收听它们并捕获源 MAC 地址。因此，攻击者很容易找到列入白名单的 MAC 地址并冒充它们。

  可以这样想：一群朋友互相交谈，他们只和他们认识的人交谈。当他们中的一个人说话时，他总是在开头说出他的名字。因此，例如，杰克说“嘿，我是杰克。今天我是胡说八道”。如果你碰巧路过他们，你可以听到他们的名字之一，并在句子的开头使用它。他们会认为你是杰克。（请忽略他们看到你和识别你声音的能力）

• 在有线网络（更具体地说，交换机有线网络）中，信号通过线路从主机传输到交换机；攻击者要监听它们并捕获源 MAC 地址要困难得多。

  可以这样想：与上一个示例中的情况相同，但不是交谈，而是朋友们直接互相发送便利贴，手拉手。作为一个局外人，你不知道他们在说什么，也不知道他们的名字，所以，理论上，你不能假装是他们中的一员。

简而言之，使 MAC 过滤无效的是知道有效 MAC 地址的攻击者。通过拥有一个有效的 MAC 地址，攻击者能够冒充它并“说服”服务器/路由器/AP 他是白名单设备。

在无线网络中，捕获和获取有效的 MAC 地址比在有线网络中更容易。这就是为什么 MAC 过滤在无线网络中不如有线网络有效的原因。

交换机、集线器和广播

在与集线器连接的旧式以太网网络中，所有数据包都被广播到网络上的所有站点。这也是当今无线网络的典型行为方式。

但为了提高网络性能，交换机在很大程度上共同取代了连接站中的集线器。一旦交换机看到来自其物理端口之一的数据包，它就会记下发送者的 MAC 地址。从那时起，指向该 MAC 地址的流量将仅沿该单根线路发送，而不会沿其他线路发送。

这种连接安排极大地减少了秘密听众可见的流量。侦听器不会看到网络上的所有流量，而只会看到广播流量和未定向到交换机知道的 MAC 的流量。

解决方法和其他问题

这不会使 MAC 欺骗成为不可能。用户可以观察广播帧（例如 ARP 数据包）以查看网络上允许哪些 MAC。但是一旦攻击者开始使用被盗的 MAC，对交换机的影响就变得有些不可预测，而且通常非常不稳定。

由于交换机上的策略只在最近看到 MAC 地址的线路上发送流量，并且由于两个站现在声明相同的 MAC，因此交换机的行为变得未定义。虽然不同的交换机以不同的方式处理这种情况，但通常您会看到一些流量流向一台计算机，而另一些流量则流向另一台计算机，具体取决于哪台计算机最后发言。将此与 TCP 的连续性和确认要求相结合，这会导致双方的连接在很大程度上无法使用。

进一步缓解

为了使攻击者更加困难，通常在高端网络安装中发现的“托管交换机”可以使用的不仅仅是上面提到的简单算法来路由以太网流量。管理员可以预先配置这些路由，而不是通过侦听来确定 MAC 地址路由，以了解期望给定的 MAC 地址驻留。这意味着攻击者不仅必须找到有效的 MAC 地址，而且还必须将他的设备插入找到有效设备的同一个物理插头插座中。将您的设备插入任何其他插座，它就无法工作。

有线网络中最大的安全漏洞之一是 DHCP。有人社会工程人员闯入您的大楼，走进空荡荡的会议室或办公室，然后将笔记本电脑插入墙上。他们会自动获得 IP，并且可以利用本地网络上可能发生的不安全事件。

解决此问题的最佳方法是仅根据已知系统分配地址，而最被接受的方法是通过 Mac 地址。从网络上获取一个有效的 MAC 地址是一项挑战：如果您已经在网络上，您也许可以使用 NMAP 嗅出一个，但随后您就被卡住了，因为该地址已经被声明了。你必须找到那台机器或强制它离线以欺骗它的 MAC，并窃取 IP 地址。如果您不在网络上，那么您将被迫尝试利用本地机器，并且这样做了，您为什么不直接使用那台机器呢？

使用无线，您要么处理完全不安全的连接，在这种情况下，您不关心计算机或交换机发生了什么，要么您处理的加密连接比网络安全几个数量级DHCP/MAC 的东西。无论哪种情况，MAC 地址都不重要。

不能窃听有线网络上的 MAC 是不正确的。ARP who-has 消息是广播消息。MAC 过滤根本不提供任何安全性。