Инструментальные средства обеспечения безопасности

Получение MAC-адресов


Еще одна разновидность информации, которую можно получит с помощью NBTSTAT - это аппаратные Ethernet-адреса (или MAC-адреса). В нашем случае IP-адресу 192.168.1.102 соответствует MAC-адрес 00-50-DA-E9-87-5F. MAC-адрес состоит из 48 бит информации и включает в себя 12 шестнадцатеричных чисел или шесть октетов. Первые (считая слева) 6 цифр (три октета) представляют собой серийный номер интерфейса конкретного поставщика оборудования. Первые шесть цифр считаются уникальным идентификатором производителя (Organizationally Unique Index OUI).

Ниже приведены несколько примеров наиболее распространенных кодов OUI.

  • SUN MICROSYSTEMS INC. (08-00-20)
  • The Linksys Group, Inc. (00-06-25)
  • 3COM CORPORATION (00-50-DA)
  • VMWARE, Inc. (00-50-56)

В нашем примере, система имела MAC-адрес 00-50-DA-E9-87-5F. Это означает, что производителем сетевого интерфейса была фирма 3COM (00-50-DA). MAC-адрес 08-00-20-00-07-E1 означает, что производителем сетевого интерфейса была компания Sun Microsystems (08-00-20), а MAC-адрес 00-06-25-51-CC-77 свидетельствует, что интерфейс сделан фирмой Linksys.

Выполненная в системе команда nbtstat показывает следующее.

C:\>nbtstat -A 192.168.1.47

NetBIOS Remote Machine Name Table

Name Type Status --------------------------------------------------------------------- NT4SERVER <00> UNIQUE Registered Inet~Services <1C> GROUP Registered IS~NT4SERVER... <00> UNIQUE Registered NT4SERVER <20> UNIQUE Registered WORKGROUP <00> GROUP Registered NT4SERVER <03> UNIQUE Registered WORKGROUP <1E> GROUP Registered WORKGROUP <1D> UNIQUE Registered ..__MCBROUSE__. <01> GROUP Registered ADMINISTRATOR <03> UNIQUE Registered

MAC Address = 00-50-56-40-4C-23

Эта машина называется NT4SERVER и имеет MAC-адрес 00-50-56-40-4C-23. По значению OUI (00-50-56) можно определить, что производителем сетевого интерфейса является компания VMware, Inc. VMware производит программное обеспечение, реализующее виртуальные машины для серверов и настольных компьютеров (см. лекцию "VMware"), что говорит о том, что система, с которой мы общаемся, возможно, виртуальный NT-Сервер, запущенный под управлением другой операционной системы на хосте.

Примечание. Полный список идентификаторов OUI можно скачать по адресу http://standards.ieee.org/regauth/oui/index.shtml. Некоторые производители предпочитают не публиковать свой код OUI.

Поскольку Windows-машины передают эту информацию без ограничений в процессе работы в сети, они не фиксируют в системном журнале попытки получения этих данных. Брандмауэры и системы обнаружения вторжений настраиваются только на обнаружение и блокировку передачи этого трафика вовне.



Содержание раздела