Различение продуктов Apple по их MAC-адресам

18

Apple зарегистрировала тонну диапазонов MAC-адресов для своих продуктов. Кто-нибудь знает, возможно ли надежно определить, какой продукт Apple (особенно iPad, iPod, iPhone и MacBooks) конкретного устройства находится в сетевом трафике через определенные префиксы MAC-адресов? Другими словами, есть ли что-то в MAC-адресе iPad, которое, например, отличается от MAC-адреса MacBook?

Кристиан
источник
Вам просто нужно определить, является ли это продуктом Macintosh?
E1Suave
1
Это будет работать, только если люди не подделывают свои MAC-адреса. Если это так, вы можете получить либо ложные срабатывания, либо ложные отрицания, в зависимости от того, кто что делает.
Фальшивое имя
1
Да, я понимаю это - но мой вопрос не был, являются ли MAC-адреса надежным идентификатором, я спрашиваю, могу ли я различать продукты Apple, используя их.
Кристиан,
@Christian - если они не являются надежным идентификатором, вы не сможете различить продукты Apple, использующие их, так как они могут быть изменены . Так что нет, видимо, вы этого не понимаете. Это может быть возможно большую часть времени, но если MAC был изменен, это больше невозможно .
Фальшивое имя
Я не знаю точно, о MAC-адресах, но tcp fingerprinting ( en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting ) может вас туда доставить. Опять же, поскольку поддельное имя было настолько вежливым, когда указывалось дважды, дактилоскопия не на 100% надежна (я могу изменить конфигурацию своего ip-стека), но сколько людей на самом деле это делают. meh Вы, по крайней мере, сможете сегментировать продукты iOS и не iOS. (по отпечатку пальца)
skarface

Ответы:

12

Нет, сортировка или определение шаблона по MAC-адресу не является возможным способом сопоставления с моделью продукта Apple.


За долгие годы наблюдения за MAC-адресами в сетях, а также за взрывом устройств на iOS, в конце концов, если бы был хороший шаблон, он начал бы появляться в развертываниях с сотнями устройств.

Например, у меня есть один Mac, на котором есть данные о примерно 1000 устройствах iOS, которые со временем были подключены к этому Mac во время работы утилиты настройки iPhone. Глядя на данные сейчас, нет четких закономерностей, помогающих различать типы устройств.

Это также относится к Mac. К сожалению, мои данные здесь исчисляются сотнями, а не тысячами. Да - строка MacBook при заказе вместе обычно будет иметь последовательные адреса (больше, чем последовательные серийные номера на самом деле), - но со временем iMac кажется смешанным с Airs и MacBook Pro.

Может случиться так, что присутствует некоторое кодирование, и никто не наткнулся на то, какие биты кодируются с номерами моделей, но простой вид MAC-адресов приводит в порядок все устройства. Возможно, если вам удастся найти кого-нибудь, кто запускает программное обеспечение для управления мобильными устройствами для очень крупной компании или школьного округа, и посмотреть, достаточно ли ему любопытно узнать, даст ли вам больший набор данных лучшие результаты для вас.

Я не видел случая, когда Mac и устройство iOS совместно используют один и тот же меньший блок MAC-адресов, но я даже не могу исключить это для вас, основываясь на моем опыте работы с сетями, которые регистрируют MAC-адреса и могут знать, какое оборудование связано с каким MAC-адресом на протяжении многих лет.

Я предполагаю, что адреса выдаются последовательно, а не по конечному пункту назначения. Было бы целесообразно раздать части каждого региона фабрикам, которые, как ожидается, изготовят 5 или 10 тысяч устройств в следующем месяце, и выпускать их только после того, как будут использованы существующие адреса. Если это так, возможно, нам повезет больше, если мы попытаемся связать числа по приблизительной дате изготовления, а не по месту, где они окажутся в отгрузочном продукте. Также обратите внимание, что в случае Mac ремонт часто дает новый MAC-адрес портативным компьютерам и даже настольным компьютерам Mac при замене контроллера Ethernet.

bmike
источник
Благодарность! Это самый близкий еще к ответу. Мы действительно сейчас в основном контролируем точки доступа, через которые проходит много людей. Краткий комментарий: ваше первое предложение предполагает, что шаблон должен быть в последних трех октетах, что не обязательно должно иметь место, учитывая множество префиксов Apple, но позже вы упоминаете, что сортировка также не выдает шаблон, поэтому вы может захотеть уточнить. (Также, если бы вы могли использовать s / mac / Mac /, где вы упомянули 1000 устройств iOS, это помогло бы избежать путаницы. :)
Кристиан,
Вы можете свободно редактировать мой пост, чтобы очистить его до вашего удовлетворения. Я попытаюсь найти безопасный фрагмент MAC, который я могу выпустить, показывая, что я имею в виду, и добавлю это позже в этот пост.
bmike
4

Ответ через два года после запроса, это не представляется возможным, полагаясь только на адрес Mac.

Поскольку вы упоминаете мониторинг сетевого трафика, лучшим подходом будет прослушивание Bonjour трафика (multicast dns).

По умолчанию машины называются «jannies-iphone.local», «gregs-macbook.local», «peters-imac.local» ...

Добрый день довольно разговорчив и генерирует шум для AFP, SMB, VNC, RAOP, DAAP и других сервисов / протоколов. Я бы посоветовал вам использовать «Bonjour Browser», а затем написать скрипт с помощью Tshark (командной строки Wireshark), чтобы автоматизировать процесс.

Без удаленного сканирования вы можете управлять своими устройствами следующими способами:

  • Запуск агента (или профиля) на всех устройствах OS X и iOS для получения 'sysctl hw.model' или его серийного номера. «Mac Tracker» может помочь вам увидеть различные модели Mac, а также их спецификацию и образец серийного номера.

  • Использование Profile Manager, Configurator или любых других решений MDM. (Но это не относится к вашему вопросу).

Найдите iOS и OS X, работающие в сети:

Также вы можете использовать сетевой инструмент, такой как nmap с опцией -A, -O или -sV (активная идентификация отпечатков пальцев и служебная версия), и фильтровать префикс Mac-адресов Apple с помощью сетевого anylizer.

Глядя на версию службы, номера портов [tcp 65xxx, являющийся портом синхронизации для iphone, tcp 548 AFP (OS X)], помогут вам определить версию OS X и аппаратное обеспечение, но не точно. (Вы не сможете отличить iPad, iPhone и iPod или модель Mac).

Флориан Бидабе
источник
3

Если вам просто нужно определить, является ли это продуктом Macintosh или нет, вы можете попробовать эту службу поиска MAC-адресов . Это позволяет вам ввести MAC-адрес, и он скажет вам, как называется поставщик. Это вряд ли будет полезно с точки зрения определения конкретных поставщиков для программного использования, однако это помогло мне выяснить, является ли машина продуктом Apple.

ОБНОВИТЬ:

Помимо использования внутренней базы данных маловероятно, что вы сможете делать то, что вы просите. Если вы решили настроить внутреннюю базу данных, может быть целесообразно использовать серийный номер или другой уникальный идентификатор, доступный для каждой машины.

E1Suave
источник
Нет, это не то, что я ищу - я ищу способ отличить продукты Apple по их MAC-адресам.
Кристиан
Приношу свои извинения, я прочитал вопрос, поскольку вы хотели различить, был ли MAC-адрес продуктом Macintosh.
E1Suave
Не стоит беспокоиться! Я понимаю, что это несколько необычный вопрос.
Кристиан
1
@ E1Suave Ваше чтение вопроса было моим пониманием также. Я отредактировал вопрос, чтобы уточнить намерения ФП.
Даниил
1
@DanielLawson Действительно. :–) Однако я все еще надеюсь на ответ. Мне кажется, что Apple, вероятно, будет иметь внутреннее использование для такой вещи, и, возможно, что-то подобное существует для потребительского использования.
E1Suave
2

Я работал на всемирно известного разработчика / производителя встраиваемых компьютеров. Как сказал Деннис (и, я думаю, вы уже знаете), первые три октета по шести из MAC-адреса предназначены для идентификации поставщика. Поэтому вы можете купить диапазон адресов в IEEE. После них вы, как разработчик / поставщик, должны гарантировать, что эта вторая часть такова, что 6-байтовый MAC-код полностью уникален во всем мире (без учета неправильного использования и подмены MAC-адресов для решения проблем безопасности в дальнейшем). В течение всего срока вашей производственной деятельности вы должны гарантировать, что внутри вашего 3-байтового кода поставщика каждый код имеет действительно уникальный диапазон адресов для второй половины MAC.

Как реализовать это в непрерывном производстве?

Мы сделали это, предполагая, что новый адрес (n + 1) из нашего диапазона n в {0..16'777'215} для каждой части адреса MAC-адреса поставщика, где n был последним данным адресом, а соответствующий блок успешно освобожден последний функциональный тест (например, отвечал в проверке банка проверки Ethernet).

Что такое MAC-адрес и что он идентифицирует?

Фактически, MAC-адрес предназначен для протокола сетевого уровня (2-й уровень в модели ISO / OSI) и используется для протоколов IEE802, таких как Ethernet, WLAN, Bluetooth и других, и относится ТОЛЬКО к сетевой карте! НЕ машина позади! Таким образом, вторая часть MAC - это не что иное, как серийный серийный номер сетевого чипсета, соответственно, платы (например, внутреннее расширение WLAN или Bluetooth - это небольшая расшивка печатной платы на материнской плате, которая также годна к эксплуатации).

Примеры

У меня нет Apple оборудования вокруг меня. Но я проверил аппаратное обеспечение Samsung. Вот мои результаты: (я имею в виду только часть продавца MAC)

  1. для Samsung Galaxy S II под управлением новейшей Android 4.0.4

    04:46:65 WLAN (802.11) это относится к Murata Manufacturing Co. как производителю микросхем 56: b2: a4 GSM продвинутый (IP через сеть сотовой связи), не упомянутый в моем списке MAC-поставщиков

  2. Samsung Galaxy GT-P5110 работает под управлением последней версии Android 4.0.4

    50: 01: BB WLAN (802.11) не указан в моем списке MAC-поставщиков

Надеюсь дать некоторые связанные с аспектом ответы на ваш вопрос.

уютный
источник
0

Я не знаю ни одного официального списка, но вы можете попытаться скомпилировать его так, как это сделал AppleSerialNumberInfo.com с серийными номерами. Вы могли бы даже приблизиться к ним, чтобы сделать это для вас. Быстрая проверка нескольких устройств позволяет предположить, что это возможно, поскольку префиксы MAC, на которые я смотрел, различались в зависимости от модели.

Конечно, он никогда не будет надежным, поскольку такие устройства, как маршрутизаторы и коммутаторы (а также виртуальные машины), обычно позволяют легко устанавливать их MAC-адреса на все, что вы захотите.

Старый Про
источник
Спасибо за чаевые. Для справки, я полностью согласен с тем, что MAC-адреса не являются стабильным идентификатором, но в моих настройках (i) просто не имеет значения, изменила ли их кучка людей, и (ii) мне в основном важно отличать ipod от ipads от iphones, поэтому вероятность того, что люди поменяли их на этих устройствах, еще ниже.
Кристиан
@ Кристиан, я согласен, что люди, вероятно, не изменили свои MAC-адреса iPhone. Скорее всего, кто-то подделает MAC-адрес iPhone с помощью маршрутизатора или виртуальной машины. В любом случае, похоже, что вы находитесь в среде, где вы можете захватить много MAC-адресов и эмпирически ответить на свой вопрос. Если вы делаете, пожалуйста, сообщите.
Old Pro
1
Я бы не стал ставить на это. Просто быстро осмотрел дом и нашел и APE, и (очень старый) Mac mini, где MAC-адрес начинается с 00:11:24.
холме
0

Первая половина MAC-адреса идентифицирует поставщика, вторая половина не обязательно соответствует чему-либо .

Деннис Вёрстер
источник
Бинго - это мой опыт просмотра MAC-адреса и продукта Apple в целом.
bmike
0

Нет. Различать разные продукты Apple невозможно по их MAC-адресу.

Вы можете, однако, искать сотни MAC-адресов очень удобно - просто вставьте список MAC-адресов, и он выплюнет производителей.

Панкай
источник
0

Это то чем я занимаюсь. С помощью «nmap» вы можете узнать, на каком устройстве базируется ОС или тип устройства. (См. ниже).

root@netmon:~# nmap -O 192.168.14.235

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-19 16:50 UTC
Nmap scan report for 192.168.14.235
Host is up (0.0043s latency).
Not shown: 999 closed ports
PORT      STATE SERVICE
62078/tcp open  iphone-sync
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 2 hops

Предоставлено OpenSource911.com

Скотт Оделл
источник
nmapне является родной командой в macOS.
Аллан
-1

такие вещи, как netscaler, могут различать браузером, имеет ли он дело со смартфоном ноутбука / планшета / книги и т. д.

mewiththesamequestion
источник
-1

Маловероятно, что вы имеете дело только с MAC-адресами, у вас почти наверняка будет IP-адрес для этого устройства. Когда вы это сделаете, вы можете отследить поведение DHCP с довольно высокой степенью точности. Большинство поставщиков точек доступа WiFi делают это. Посетите [ https://fingerbank.org ] для получения подробной информации о базе данных.

boris42
источник