如何控管被竄改的MAC網址？

如何控管被竄改的MAC網址？
到iT邦幫忙

dorahappy（iT邦初學者10級）發問：
如果MAC位址遭到竄改，封包在網卡送出時，還會帶有原來的MAC位址嗎？如果不會，那要如何防止更改？

pcboy（iT邦初學者4級）：
封包會帶網卡的MAC位址，如果用駭客工具半路攔截封包，修改MAC再送出，應該是無法知道。

如果怕使用者竄改，在電腦採購後，分發給使用者前，先記錄網卡的MAC位址，再透過DHCP伺服器，設定哪些MAC配給IP，其餘的就不給。或在網路管理設備設定MAC位址，只允許名單中的上Internet。

andycheng（iT邦初學者10級）：
分別在Windows上裝FTP、在Unix上寫Script，使用Cron Job，定期將指定檔案上傳到FTP。

cheng（iT邦初學者5級）：
建議可以用基層交換器做控管，現在這樣的設備只要隨意更改IP、MAC、Port，就會被記錄或被鎖住。

其實對方有能力修改MAC與IP，一般的網管軟體應該也沒多大用處，畢竟他有辦法仿冒了別人的資料上網。一般我會設定讓每個Port對應一組IP與MAC，當送出的資料在對應上有問題時，使用者就會被鎖定。

nevermind（iT邦初學者10級）：
修改MAC位址，有些網卡會支援，就算不支援，也可以透過修改登錄表資料達到這個目的。

在「裝置管理員」、「網路介面卡」點選網卡、按右鍵，選「內容」、「進階」、「Network Address」，旁邊有個數值，你可以修改看看，然後找別臺電腦Ping修改過的電腦，再下arp指令，就可以知道被修改了。

cklin（iT邦初學者10級）：
封包的MAC位址可不可以改？答案是可以的。但是要做到完全成功，就要看使用的工具和功力。

有些工具提供修改MAC功能，例如VMware的VNIC都可以讓管理者自己改。但改的人功力不好，即使有地方可以改，一改出來就會被發現。有一些約定成俗的「禁用」MAC，如0000.0000.0000或FFFF.FFFF.FFFF，這種MAC位址會被一些網路設備自動濾掉，不會有作用。

提供你一個簡單的方法，讓改MAC的人自動找你報到。將公司內部網路設備的MAC表和ARP表的Agent Time存活時間調長一點，或是DHCP IP租期調長，因為亂改MAC的人，就是要測試改過的MAC是否能立即上網，一旦被MAC/ARP/DHCP記錄到舊的資料而無法用新改的MAC位址，那他就自己會跑來找你。

如果你們單位預算充足，可以考慮建置 NAC（Network Control Access）網路權限存取機制，或導入802.1x等方式，這樣一來誰上網都知道了。