Diferenciando produtos Apple por seus endereços MAC

18

A Apple registrou uma tonelada de faixas de endereços MAC para seus produtos. Alguém sabe se é possível identificar de forma confiável qual produto da Apple (particularmente iPad, iPod, iPhone e MacBooks) um dispositivo específico está no tráfego de rede por meio de prefixos de endereço MAC específicos? Em outras palavras, existe algo sobre o endereço MAC de um iPad que seja distinguível do endereço MAC de um MacBook, por exemplo?

cristão
fonte
Você está simplesmente precisando identificar se é um produto Macintosh?
E1Suave
11
Isso só funcionará se as pessoas não estiverem falsificando seus endereços MAC. Se estiverem, você pode obter falsos positivos ou negativos, dependendo de quem está fazendo o que.
Nome falso
11
Certo, eu entendo isso - mas minha pergunta não era se os endereços MAC são um identificador confiável, estou perguntando se posso distinguir os produtos da Apple usando-os.
Christian
@ Christian - Se eles não são um identificador confiável, não é possível distinguir os produtos da Apple usando-os, pois eles podem ser alterados . Então não, aparentemente você não entende isso. Pode ser possível na maioria das vezes, mas se o MAC tiver sido alterado, não será mais possível .
Nome falso
Eu não sei exatamente sobre endereços MAC, mas as impressões digitais tcp ( en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting ) podem meio que levá-lo até lá. Novamente, como o nome falso foi tão educado em apontar duas vezes, a impressão digital não é 100% confiável (posso alterar minha configuração de pilha de ip), mas quantas pessoas realmente o fazem. meh Você poderia ao menos segmentar entre produtos iOS e não iOS. (com base na impressão digital os)
skarface

Respostas:

12

Não, classificar ou determinar um padrão no endereço MAC não é uma maneira viável de mapear para o modelo do produto Apple.


Ao longo de anos assistindo a endereços MAC em redes, bem como a explosão de dispositivos no final do iOS, se houvesse um bom padrão, ele começaria a aparecer em implantações com centenas de dispositivos.

Por exemplo, eu tenho um Mac que possui dados sobre cerca de 1.000 dispositivos iOS que foram conectados ao longo do tempo nesse Mac enquanto o utilitário de configuração do iPhone estava em execução. Observando os dados agora, não há padrões claros para ajudar a diferenciar os tipos de dispositivos.

Isso também se aplica aos Macs. Infelizmente, meus dados aqui estão nas centenas e não nos milhares atualmente. Sim - uma série de MacBooks quando ordenados juntos geralmente possui endereços seqüenciais (mais do que números de série seqüenciais) - mas com o tempo, os iMacs parecem misturados com o Airs e o MacBook Pro.

Pode ser que exista alguma codificação presente e ninguém tenha tropeçado nos bits que são codificados com números de modelo, mas um tipo simples de endereço MAC faz com que todos os dispositivos se misturem. Talvez se você puder encontrar alguém que execute o software de gerenciamento de dispositivos móveis para uma empresa ou distrito escolar muito grande e veja se eles têm curiosidade suficiente para ver se um conjunto de dados maior traria alguns resultados melhores para você.

Não vi um caso em que um Mac e um dispositivo iOS compartilhem o mesmo bloco menor de endereços MAC, mas não posso descartar isso com base na minha experiência em executar redes que registram endereços MAC e estão em condições de saber qual hardware está associado a qual endereço MAC ao longo dos anos.

Meu palpite é que os endereços são emitidos seqüencialmente e não pelo destino final. Seria bom distribuir partes de cada região às fábricas que se espera que produzam 5 ou 10 mil dispositivos no próximo mês e resolver o problema mais uma vez quando os endereços existentes forem consumidos. Nesse caso, teremos mais sorte em tentar agrupar os números por data aproximada de fabricação, em vez de por onde eles terminam em um produto de remessa. Além disso, considere também que, no final do Mac, os reparos geralmente fornecem um novo endereço MAC para portáteis e até Macs de mesa quando o controlador ethernet é substituído.

bmike
fonte
Obrigado! Este é o mais próximo ainda de uma resposta. No momento, estamos monitorando basicamente os pontos de acesso que muitas pessoas passam. Um comentário rápido: sua primeira frase sugere que o padrão precisaria estar nos últimos três octetos, o que não é o caso, dado o host de prefixos da Apple, mas mais tarde você menciona que a classificação também não traz nenhum padrão; pode querer esclarecer. (Além disso, se você poderia s / mac / Mac / onde você mencionar os dispositivos iOS 1.000, que ajudaria a evitar a confusão :).
Christian
Você tem liberdade para editar minha postagem para esclarecer isso de forma satisfatória. Vou tentar encontrar um snippet seguro do MAC que possa liberar mostrando o que quero dizer e adicioná-lo posteriormente a este post.
Bmike
4

Responder dois anos depois de perguntar, não é possível confiar apenas no endereço do Mac.

Como você menciona o monitoramento do tráfego da rede, a melhor abordagem seria ouvir o tráfego Bonjour (DNS multicast).

Por padrão, as máquinas são chamadas de 'jannies-iphone.local', 'gregs-macbook.local', 'peters-imac.local' ...

Bonjour é bastante falador e gera ruído para AFP, SMB, VNC, RAOP, DAAP e outros serviços / protocolos. Eu sugiro que você use o "Bonjour Browser" e depois escreva algo com o Tshark (linha de comando do Wireshark) para automatizar o processo.

Sem verificações remotas, você pode gerenciar seus dispositivos:

  • Executando um agente (ou perfil) em cada dispositivo OS X e iOS para buscar 'sysctl hw.model' ou seu número de série. O 'Mac Tracker' pode ajudá-lo a ver os diferentes modelos de Mac e suas especificações e padrão de número de série.

  • Usando o Profile Manager, Configurator ou qualquer solução MDM. (Mas isso não aborda sua pergunta).

Encontre o iOS e o OS X em execução na rede:

Além disso, você pode usar uma ferramenta de rede como o nmap com a opção -A, -O ou -sV (Impressão digital ativa e versão de serviço) e filtrar o prefixo de endereços MAC da Apple usando um anylizer de rede.

Observando a versão do serviço, os números de porta [tcp 65xxx sendo uma porta de sincronização do iphone, tcp 548 AFP (OS X)] ajudarão você a determinar a versão e o hardware do OS X, mas não com precisão. (Você não poderá diferenciar o modelo do iPad, iPhone e iPod ou Mac).

Florian Bidabe
fonte
3

Se você simplesmente precisar identificar se é um produto Macintosh ou não, tente o serviço de pesquisa de endereço MAC . Ele permite que você digite o endereço MAC e informa qual é o nome do fornecedor. Não é provável que seja útil em termos de identificação de fornecedores específicos para uso programático, mas funcionou para mim no que diz respeito a descobrir se a máquina é um produto da Apple.

ATUALIZAR:

Além de utilizar um banco de dados interno, não é provável que você consiga fazer o que está pedindo. Se você decidiu configurar um banco de dados interno, pode ser prudente utilizar o número de série ou outro ID exclusivo disponível para cada máquina.

E1Suave
fonte
Não, não é isso que estou procurando - estou procurando uma maneira de distinguir produtos Apple através de seus endereços MAC.
Christian
Lamento a pergunta, pois você queria distinguir se o endereço MAC era um produto Macintosh.
E1Suave
Não se preocupe! Sei que é uma pergunta um tanto incomum.
Christian
11
@ E1Suave Sua leitura da pergunta também foi do meu entendimento. Editei a pergunta para esclarecer a intenção do OP.
Daniel
11
@DanielLawson Indeed. :–) No entanto, ainda estou esperando uma resposta. Parece-me que a Apple provavelmente teria um uso interno para tal coisa e talvez algo semelhante exista para o uso do consumidor.
E1Suave
2

Eu estava trabalhando para um desenvolvedor / produtor de computador embarcado conhecido mundialmente. Como Dennis disse (e eu acho que você já sabia), os três primeiros octetos de seis do endereço MAC são para identificação do fornecedor. Portanto, você pode comprar faixas de endereços do IEEE. Depois deles, você deve garantir como desenvolvedor / fornecedor do seu próprio hardware que esta segunda parte é para que o MAC completo de 6 bytes seja totalmente exclusivo em todo o mundo (sem considerar erros de uso e armazenamento temporário de MAC para problemas de segurança posteriormente). Por toda a vida útil da sua atividade de produção Você precisa garantir que, dentro do código do seu fornecedor de 3 bytes, cada código tenha um intervalo realmente único de endereços para a segunda metade do MAC.

Como perceber isso em uma produção contínua?

Fizemos isso assumindo um novo endereço (n + 1) do nosso intervalo n em {0..16'777'215} por cada parte do Endereço do fornecedor MAC, em que n foi o último endereço fornecido E a unidade em questão foi absolvida com êxito o teste final da função (por exemplo, estava respondendo em um cheque bancário de teste Ethernet).

O que é endereço MAC e o que ele está identificando?

De fato, o endereço MAC é para protocolo de camada de rede (segunda camada no modelo ISO / OSI) e usado para protocolos IEE802 como Ethernet, WLAN, Bluetooth e outros e refere-se SOMENTE à placa de rede! NÃO a máquina por trás! Portanto, a 2ª parte do MAC nada mais é do que o número de produção serial do chipset de rede, respectivamente da placa (por exemplo, a extensão interna de WLAN ou bluetooth é um pequeno problema de circuito impresso na smd na placa principal e também pode ser reparado).

Exemplos

Não tenho nenhum hardware da Apple ao meu redor. Mas fiz uma verificação com o hardware da Samsung. Aqui estão meus resultados: (refiro-me apenas à parte do fornecedor do MAC)

  1. para Samsung Galaxy S II executando o Android 4.0.4 mais recente

    04:46:65 WLAN (802.11) refere-se à Murata Manufacturing Co. como fabricante de chips 56: b2: a4 GSM avançado (IP sobre rede de telefonia celular), não mencionado na minha lista de fornecedores de MAC

  2. Samsung Galaxy GT-P5110 com o Android 4.0.4 mais recente

    50: 01: BB WLAN (802.11) não mencionado na minha lista de fornecedores de MAC

Espero dar algumas respostas relacionadas a aspectos para sua pergunta.

acolhedor
fonte
0

Não conheço nenhuma lista oficial, mas você pode tentar compilar uma da mesma forma que AppleSerialNumberInfo.com fez com números de série. Você pode até abordá-los para fazer isso por você. Uma verificação rápida de alguns dispositivos sugere que isso pode ser possível, pois os prefixos MAC que eu observei variam de acordo com o modelo.

É claro que nunca será à prova de falhas, pois dispositivos como roteadores e switches (assim como máquinas virtuais) permitem rotineiramente definir facilmente os endereços MAC deles para o que você quiser.

Old Pro
fonte
Obrigado pela dica. Para constar, eu concordo plenamente que os endereços MAC não são um identificador estável, mas na minha configuração (i) simplesmente não importa se algumas pessoas os mudaram e (ii) eu me preocupo principalmente em distinguir ipods e ipads dos iphones, então a probabilidade de as pessoas os terem alterado nesses dispositivos é ainda mais baixa.
Christian
@ Christian, eu concordo que as pessoas provavelmente não mudaram seus endereços MAC do iPhone. Provavelmente, alguém falsificará um endereço MAC do iPhone com um roteador ou VM. De qualquer forma, parece que você está em um ambiente em que pode capturar muitos endereços MAC e responder empiricamente à sua própria pergunta. Se o fizer, por favor, reporte.
Old Pro
11
Eu não apostaria nisso. Bastava uma rápida olhada pela casa e encontrou um Mac mini (muito antigo) e o APE, onde o endereço MAC começa com 00:11:24.
Nohillside
0

A primeira metade de um endereço MAC identifica o fornecedor, a segunda metade não corresponde necessariamente a nada .

Dennis Wurster
fonte
Bingo - essa tem sido minha experiência em procurar endereços MAC e produtos da Apple em geral.
Bmike
0

Não, não é possível diferenciar entre diferentes produtos da Apple apenas pelo endereço MAC.

Você pode, no entanto, pesquisar centenas de endereços MAC de maneira muito conveniente - basta colar uma lista de endereços MAC e isso cuspirá os fabricantes.

Pankaj
fonte
0

Isto é o que eu faço. Usando o "nmap", você pode descobrir em que base o dispositivo se baseia no sistema operacional ou no tipo de dispositivo. (Ver abaixo).

root@netmon:~# nmap -O 192.168.14.235

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-19 16:50 UTC
Nmap scan report for 192.168.14.235
Host is up (0.0043s latency).
Not shown: 999 closed ports
PORT      STATE SERVICE
62078/tcp open  iphone-sync
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 2 hops

Trazido a você por OpenSource911.com

Scott Odell
fonte
nmapnão é um comando nativo no macOS.
21418 Allan
-1

coisas como um netscaler podem diferenciar pelo navegador se trata de um smartphen de laptop / tablet / livro etc.

mewiththesamequestion
fonte
-1

É muito improvável que você esteja lidando apenas com endereços MAC, e quase definitivamente também terá um endereço IP para esse dispositivo. Ao fazê-lo, você pode imprimir o comportamento do DHCP com um nível de precisão bastante assustador. A maioria dos fornecedores de pontos de acesso WiFi faz isso. Visite [ https://fingerbank.org ] para obter detalhes sobre o banco de dados.

boris42
fonte