mercoledì 13 settembre 2017

MAC Address ed OUI


Partiamo larghi... Ogni singolo apparato di rete viene fornito di un MAC Address ovvero di un identificativo univoco. Ma con questo identificativo cosa ci faccio, al lato pratico?


Beh, questo permette di fare tanti giochini, tipo filtrare le connessioni in base ad uno specifico MAC.
Ogni MAC (che è la sigla di Media Access Control) è composto da 48 bit che sono divisi in 12 cifre esadecimali. Ogni coppia di cifre è separata con il simbolo "-" oppure "*".
Le prime 3 coppie identificano appunto il produttore e vengono chiamate OUI ovvero Organizationally Unique Identifier (guardatevi Wikipedia che ne dice in merito) e permettono di capire a partire da un MAC quale è il produttore.

Le ultime 3 coppie invece identificano il numero seriale assegnato dal produttore e permettono virtualmente di tenere traccia del singolo componente.
Virtualmente perchè possono essere cambiati via software, come anche gli OUI.
Oddio, è una cosa della quale ci si accorge, perchè c'è un modo per capire se sono stati cambiati o meno, ma non è importante, al momento...
Se volete approfondire, come sempre Wikipedia è molto dettagliata.

Questa tecnica di cambio di MAC può essere usata sia come spoofing che per mascherare un apparato di rete in modo da fornire meno informazioni possibili ad un potenziale attaccante.
Quello che però non viene detto è che esistono due tipologie di registrazione degli OUI.
Una è quella canonica e pubblica, reperibile nel file oui.txt mentre l'altra è privata, infatti esiste una lista di OUI "nascosta" che si chiama Privately Registered OUI.

Se guardata sul sito della Registration Authority vedrete che per registrare un MAC servono 2735 dollari, mentre per un MAC privato oltre a quella cifra bisogna sborsare annualmente altri 3165 dollari. Alcune ditte lo fanno e quando si fa un lookup (ovvero si tenta di risalire dal MAC alla ditta) ci si trova la scritta "PRIVATE". Altre ditte (specie quelle che creano dispositivi embedded) usano un solo MAC per tutti i loro apparati, generando non poca confusione se si ha più di un loro device in rete, cosa che mi è capitata, purtroppo, recentemente.

Per quel che invece mi concerne, mi volevo concentrare sulla lista degli OUI pubblici. Usando Wigle
ho anche salvati nei log tutti i MAC. Dopo aver nascosto gli ultimi tre ottetti (ovvero gli ultimi 24 bit, che come dicevo permettono virtualmente di identificare un singolo componente e da li potenzialmente l'utente) volevo vedere i produttori.

Così, per curiosità ed eventualmente in futuro per statistica.

Ho iniziato "basso" usando un tool della NirSoft, il loro MACAddressView che si appoggia alla versione aggiornata dell'oui.txt già contenuta nell'eseguibile.

Questo software ha però un difetto, se non trova un MAC non lascia una riga vuota! Ho scritto al programmatore, mi ha ringraziato del feedback ed ha detto che valuterà se includere questa funzionalità in una prossima release. Meglio che nulla :-)

Fortunatamente esistono altre liste OUI mantenute da organismi diversi dalla Registration Authority, tipo la lista di Wireshark dove compaiono diversi altri produttori.
Altra fonte (anche se meno ampia della precedente) è la lista di Nmap .

Come dicevo, ho continuato ad usare MACAddressView ma mettendo la lista di Wireshark nella stessa cartella chiamandola oui.txt. Quest'azione forza il software ad usare una lista esterna, non serve passare nessun parametro, solo mettere il file nella stessa cartella dell'eseguibile.
Anche così però non ci sono tutti...

Allora mi sono scaricato la release aggiornata dell'oui.txt  perchè ho notato che per esempio Xiaomi e Huawei non sono presenti. Nonostante questo , risultano ancora senza produttore un bel pò di dispositivi....

Ad iniziare da tutti quelli marchiati WOW-FI - FASTWEB, cosa che è anche del tutto logica perchè non è un apparato reale ma una rete "virtuale" alla quale contribuiscono tutti i proprietari di router Fastweb.

Quello che mi ha incuriosito sono le IBSS, non ne avevo mai incontrate.

Allora mi sono documentato, in buona sostanza sono dei device che accettano solo connessioni ad hoc. Potrebbero essere stampanti o similari, nella mia ipotesi.
Mi sono andato a filtrare i dati di Chiavari ed effettivamente esistono 4 device IBSS. Due sono chiaramente marcati SETUP, uno è una stampante HP610a  (che gentilmente motifica a tutti nel nome anche gli ultimi 3 ottetti del MAC) ed una chiamata Portthru.

Iniziamo dalla stampante, leggendo il manuale è una stampante anche wi-fi, quindi ci siamo.
Ora resta solo Portthru.
Cercando in giro, è una rete wifi creata dalle stampanti Samsung per il primo collegamento alla rete wifi di casa.
Uno è chiaro che è un iPhone infatti si chiama "iPhone di Emma" :-)
Bene, a questo punto abbiamo identificato le cose "curiose" , ma resta ancora qualche apparato senza nome.
Ce ne faremo una ragione :-)

Giusto per amore della statistica, qui di seguito l'elenco in base ai produttori rilevato da MAC Address con i dati presi durante il mio giro a Chiavari


Produttore Numero
Vodafone Omnitel 147
Technicolor 130
Adb Broadband Italia 59
Huawei Technologies Co.,ltd 28
Tp-Link Technologies Co.,ltd. 26
Netgear 23
D-Link 17
Senao International Co., Ltd. 11
Cisco Systems, Inc 10
Ubiquiti Networks Inc. 8
Avm Gmbh 7
Zyxel Communications Corporation 7
Apple, Inc. 5
Billion Electric Co., Ltd. 5
Cisco-Linksys, Llc 4
Cybertan Technology Inc. 4
Hewlett Packard 4
Juniper Networks 4
zte corporation 4
Samsung Electronics Co.,ltd 3
Telsey Spa 3
Thomson Telecom Belgium 3
Aethra Telecomunicazioni 2
Asustek Computer Inc. 2
Baudtec Corporation 2
Belkin International Inc. 2
Cisco Meraki 2
SETUP 2
Alpha Networks Inc. 1
Arcadyan Technology Corporation 1
Askey Computer Corp 1
Azurewave Technology Inc. 1
Digicom S.p.a. 1
Edimax Technology Co. Ltd. 1
Guangzhou Juan Optical and Electronical Tech Joint Stock Co., Ltd 1
HPJ610a.086DB8 1
Intronics B.v. 1
Jump Industrielle Computertechnik Gmbh 1
Microsoft Corporation 1
Portthru 1
Routerboard.com 1
Samsung Electro-Mechanics(Thailand) 1
Sercomm Corporation 1
Shenzhen Bilian electronic Co.,ltd 1
Tct mobile ltd 1
Tenda Technology Co., Ltd. 1
Wistron Neweb Corporation 1
Xavi Technologies Corp. 1
Xiaomi Electronics,co.,ltd 1
Zygate Communications, Inc. 1

Nessun commento:

Posta un commento

Sei davvero sicuro di voler sprecare tempo prezioso per scrivere qualcosa? Non è che preferisci andare su Google?

Cerca nel blog

I post più letti di sempre