Différencier les produits Apple par leurs adresses MAC

18

Apple a enregistré une tonne de plages d'adresses MAC pour ses produits. Quelqu'un sait-il s'il est possible d'identifier de manière fiable quel produit Apple (en particulier iPad, iPod, iPhone et MacBooks) un appareil particulier fait l'objet d'un trafic réseau via des préfixes d'adresse MAC spécifiques? En d'autres termes, est-ce que l'adresse MAC d'un iPad se distingue de l'adresse MAC d'un MacBook, par exemple?

Christian
la source
Avez-vous simplement besoin de savoir s'il s'agit d'un produit Macintosh?
E1Suave
1
Cela ne fonctionnera que si les gens n'usurpent pas leurs adresses MAC. S'ils le sont, vous pouvez obtenir des faux positifs ou des faux négatifs, selon qui fait quoi.
Fake Name
1
D'accord, je comprends cela - mais ma question n'était pas de savoir si les adresses MAC sont un identifiant fiable, je demande si je peux distinguer les produits Apple qui les utilisent.
Christian
@Christian - S'ils ne sont pas un identifiant fiable, vous ne pouvez pas distinguer les produits Apple qui les utilisent, car ils peuvent être modifiés . Donc non, apparemment, vous ne comprenez pas cela. Cela peut être possible la plupart du temps, mais si le MAC a été changé, ce n'est plus possible .
Fake Name
Je ne connais pas strictement les adresses mac, mais les empreintes digitales TCP ( en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting ) peuvent en quelque sorte vous y rendre. Encore une fois, comme le faux nom était si poli de le souligner deux fois, les empreintes digitales ne sont pas fiables à 100% (je peux changer la configuration de ma pile IP) mais combien de personnes le font réellement. meh Vous seriez au moins capable de segmenter entre les produits iOS et non iOS. (basé sur l'empreinte digitale du système d'
exploitation

Réponses:

12

Non, le tri ou la détermination d'un modèle dans l'adresse MAC n'est pas un moyen possible de mapper au modèle du produit Apple.


Au fil des années, à regarder les adresses MAC sur les réseaux ainsi que l'explosion des appareils sur la fin des choses iOS, s'il y avait un joli modèle, il commencerait à apparaître dans les déploiements avec des centaines d'appareils.

Par exemple, j'ai un Mac qui contient des données sur environ 1000 appareils iOS qui ont été connectés au fil du temps à ce Mac pendant que l'utilitaire de configuration iPhone était en cours d'exécution. En regardant les données maintenant, il n'y a pas de modèles clairs pour aider à différencier les types d'appareils.

Cela s'applique également aux Mac. Malheureusement, mes données ici sont actuellement des centaines et non des milliers. Oui - une chaîne de MacBooks commandée ensemble aura généralement des adresses séquentielles (plus que les numéros de série séquentiels en fait) - mais au fil du temps, les iMacs semblent mélangés avec les Airs et le MacBook Pro.

Il se peut qu'il y ait un certain encodage et que personne ne soit tombé sur les bits codés avec des numéros de modèle, mais une sorte simple d'adresses MAC a tous les appareils confondus. Peut-être que si vous pouvez trouver quelqu'un qui exécute le logiciel de gestion des appareils mobiles pour une très grande entreprise ou un district scolaire et voir s'il est assez curieux de voir si un ensemble de données plus volumineux donnerait de meilleurs résultats pour vous.

Je n'ai pas vu de cas où un Mac et un appareil iOS partagent le même bloc d'adresses MAC plus petit, mais je ne peux même pas exclure cela pour vous en fonction de mon expérience en utilisant des réseaux qui enregistrent l'adresse MAC et sont en mesure de savoir quel matériel est associé à quelle adresse MAC au fil des ans.

Je suppose que les adresses sont émises séquentiellement plutôt que par destination finale. Il serait logique de distribuer des parties de chaque région à des usines qui devraient fabriquer 5 ou 10 000 appareils au cours du mois prochain et ne plus en produire qu'une fois que les adresses existantes seront consommées. Si c'est le cas, nous pourrions avoir plus de chance d'essayer de regrouper les chiffres par date de fabrication approximative plutôt que par où il se retrouve dans un produit d'expédition. Pensez également au côté Mac, les réparations donnent souvent une nouvelle adresse MAC aux portables et même aux Mac de bureau lorsque le contrôleur Ethernet est remplacé.

bmike
la source
Merci! C'est la réponse la plus proche à ce jour. En fait, nous surveillons actuellement essentiellement les points d'accès qui font passer beaucoup de personnes. Un commentaire rapide: votre première phrase suggère que le modèle devrait être dans les trois derniers octets, ce qui n'est pas nécessairement le cas étant donné l'hôte de préfixes d'Apple, mais vous mentionnez plus tard que le tri ne fait apparaître aucun modèle non plus, donc vous voudra peut-être clarifier. (De plus, si vous pouviez s / mac / Mac / où vous mentionnez les 1000 appareils iOS, cela aiderait à éviter toute confusion. :)
Christian
Vous avez le règne libre de simplement modifier mon message pour clarifier cela à votre satisfaction. Je vais essayer de trouver un coffre-fort de MAC que je peux publier en montrant ce que je veux dire et l'ajouter plus tard à ce post.
bmike
4

Répondre deux ans après avoir demandé, il n'est pas possible de s'appuyer uniquement sur l'adresse Mac.

Étant donné que vous mentionnez la surveillance du trafic réseau, la meilleure approche serait d'écouter le trafic Bonjour (DNS multidiffusion).

Par défaut, les machines sont appelées 'jannies-iphone.local', 'gregs-macbook.local', 'peters-imac.local' ...

Bonjour est assez bavard et génère du bruit pour AFP, SMB, VNC, RAOP, DAAP et d'autres services / protocoles. Je vous suggère d'utiliser "Bonjour Browser" puis de script quelque chose avec Tshark (ligne de commande Wireshark) pour automatiser le processus.

Sans analyses à distance, vous pouvez gérer vos appareils en:

  • Exécution d'un agent (ou profil) sur chaque appareil OS X et iOS pour récupérer «sysctl hw.model» ou son numéro de série. 'Mac Tracker' peut vous aider à voir les différents modèles de Mac et leur modèle de numéro de série et de spécification.

  • Utilisation de Profile Manager, Configurator ou de toute solution MDM. (Mais cela ne répond pas à votre question).

Trouvez iOS et OS X en cours d'exécution sur le réseau:

Vous pouvez également utiliser un outil réseau tel que nmap avec l'option -A, -O ou -sV (empreinte digitale active et version de service) et filtrer le préfixe des adresses mac d'Apple à l'aide d'un anylizer réseau.

En regardant la version du service, les numéros de port [tcp 65xxx étant un port de synchronisation iphone, tcp 548 AFP (OS X)] vous aideront à déterminer la version et le matériel OS X, mais pas précisément. (Vous ne pourrez pas différencier les modèles iPad, iPhone et iPod ou Mac).

Florian Bidabe
la source
3

Si vous avez simplement besoin d'identifier s'il s'agit d'un produit Macintosh ou non, vous pouvez essayer le service de recherche d'adresse MAC . Il vous permet de taper l'adresse MAC et vous indiquera le nom du fournisseur. Il n'est probablement pas utile d'identifier des fournisseurs spécifiques pour une utilisation programmatique, mais cela a fonctionné pour moi en ce qui concerne la recherche si la machine est un produit Apple.

MISE À JOUR:

Mis à part l'utilisation d'une base de données interne, il est peu probable que vous puissiez faire ce que vous demandez. Si vous avez décidé de configurer une base de données interne, il peut être prudent d'utiliser le numéro de série ou un autre ID unique disponible pour chaque machine.

E1Suave
la source
Non, ce n'est pas ce que je recherche - je cherche un moyen de distinguer les produits Apple via leurs adresses MAC.
Christian
Mes excuses, j'ai lu la question car vous vouliez distinguer si l'adresse MAC était un produit Macintosh.
E1Suave
Pas de soucis! Je me rends compte que c'est une question quelque peu inhabituelle.
Christian
1
@ E1Suave Votre lecture de la question était aussi ma compréhension. J'ai modifié la question pour clarifier l'intention du PO.
Daniel
1
@DanielLawson En effet. :–) Cependant, je garde toujours espoir sur une réponse. Il me semble qu'Apple aurait probablement un usage interne pour une telle chose et peut-être quelque chose de similaire existe pour un usage grand public.
E1Suave
2

Je travaillais pour un développeur / producteur d'ordinateurs embarqués mondialement connu. Comme Dennis l'a dit (et je suppose que vous le saviez déjà), les trois premiers octets de six de l'adresse MAC sont destinés à l'identification du vendeur. Par conséquent, vous pouvez acheter des plages d'adresses auprès de l'IEEE. Après eux, vous devez garantir en tant que développeur / fournisseur à partir de votre propre matériel que cette deuxième partie est pour que le MAC complet de 6 octets soit entièrement unique dans le monde entier (sans tenir compte de la mauvaise utilisation et du MACspoofing pour les problèmes de sécurité plus tard). Pour la durée de vie de votre activité de production Vous devez garantir que dans votre code fournisseur de 3 octets, chaque code possède une plage d'adresses vraiment unique pour la seconde moitié de MAC.

Comment réaliser cela dans une production continue?

Nous avons fait cela en supposant une nouvelle adresse (n + 1) de notre gamme n dans {0..16'777'215} pour chaque partie d'adresse de fournisseur MAC, où n était la dernière adresse donnée ET l'unité concernée a réussi à absoudre le test de fonction final (par exemple, répondait à une vérification de banque de test Ethernet).

Qu'est-ce que l'adresse MAC et qu'est-ce qu'elle identifie?

En fait, l'adresse MAC est destinée au protocole de couche réseau (2e couche dans le modèle ISO / OSI) et utilisée pour les protocoles IEE802 comme Ethernet, WLAN, Bluetooth et autres et fait référence UNIQUEMENT à la carte réseau! PAS la machine derrière! Ainsi, la deuxième partie de MAC n'est rien d'autre que le numéro de production en série du chipset réseau respectivement (par exemple, l'extension interne WLAN ou Bluetooth est un petit cirquit bouleversé imprimé sur la carte mère et également utilisable).

Exemples

Je n'ai pas de matériel Apple autour de moi. Mais j'ai vérifié avec le matériel Samsung. Voici mes résultats: (je me réfère uniquement à la partie fournisseur de MAC)

  1. pour Samsung Galaxy S II exécutant la dernière version d'Android 4.0.4

    04:46:65 WLAN (802.11), cela fait référence à Murata Manufacturing Co. en tant que producteur de puces 56: b2: a4 GSM avancé (réseau IP sur téléphone portable), non référencé dans ma liste de fournisseurs MAC

  2. Samsung Galaxy GT-P5110 fonctionnant sous Android 4.0.4

    50: 01: BB WLAN (802.11) non référencé dans ma liste de fournisseurs MAC

J'espère donner quelques réponses liées à l'aspect à votre question.

confortable
la source
0

Je ne connais aucune liste officielle, mais vous pouvez essayer d'en compiler une comme AppleSerialNumberInfo.com l' a fait avec les numéros de série. Vous pourriez même les approcher pour le faire pour vous. Une vérification rapide de quelques appareils suggère que cela pourrait être possible, car les préfixes MAC que j'ai examinés variaient selon le modèle.

Bien sûr, il ne sera jamais infaillible, car des périphériques tels que des routeurs et des commutateurs (ainsi que des machines virtuelles) vous permettent régulièrement de définir facilement leurs adresses MAC sur tout ce que vous voulez.

Old Pro
la source
Merci pour le conseil. Pour mémoire, je suis tout à fait d'accord pour dire que les adresses MAC ne sont pas un identifiant stable, mais dans mon contexte (i) cela n'a tout simplement pas d'importance si une poignée de personnes les ont modifiées et (ii) je me soucie principalement de distinguer les iPods des iPads des iphones, donc la probabilité que des personnes les aient modifiées sur ces appareils est encore plus faible.
Christian
@Christian, je suis d'accord que les gens n'ont probablement pas changé l'adresse MAC de leur iPhone. Plus probablement, quelqu'un usurpera une adresse MAC iPhone avec un routeur ou une machine virtuelle. Quoi qu'il en soit, il semble que vous vous trouviez dans un environnement où vous pouvez capturer de nombreuses adresses MAC et répondre empiriquement à votre propre question. Si vous le faites, veuillez nous faire rapport.
Old Pro
1
Je ne parierais pas dessus. Je viens de jeter un coup d'œil rapide dans la maison et j'ai trouvé un APE et un (très ancien) Mac mini où l'adresse MAC commence à 00:11:24.
nohillside
0

La première moitié d'une adresse MAC identifie le fournisseur, la seconde moitié ne correspond nécessairement à rien .

Dennis Wurster
la source
Bingo - c'est mon expérience en recherchant l'adresse MAC et le produit Apple en général.
bmike
0

Non, il n'est pas possible de différencier les différents produits d'Apple uniquement par leur adresse MAC.

Cependant, vous pouvez rechercher des centaines d'adresses MAC très facilement - il suffit de coller une liste d'adresses MAC et cela crachera les fabricants.

Pankaj
la source
0

C'est ce que je fais. En utilisant "nmap", vous pouvez découvrir ce que l'appareil est basé sur le système d'exploitation ou le type d'appareil. (Voir ci-dessous).

root@netmon:~# nmap -O 192.168.14.235

Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-19 16:50 UTC
Nmap scan report for 192.168.14.235
Host is up (0.0043s latency).
Not shown: 999 closed ports
PORT      STATE SERVICE
62078/tcp open  iphone-sync
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
Network Distance: 2 hops

Offert à vous par OpenSource911.com

Scott Odell
la source
nmapn'est pas une commande native sur macOS.
Allan
-1

des choses comme un netscaler peuvent différencier par le navigateur s'il s'agit d'un smartphen d'ordinateur portable / tablette / livre, etc.

avec la même question
la source
-1

Il est très peu probable que vous ne traitiez qu'avec des adresses MAC, vous aurez presque certainement une adresse IP pour cet appareil également. Lorsque vous le faites, vous pouvez identifier le comportement DHCP à un niveau de précision assez effrayant. La plupart des fournisseurs de points d'accès WiFi le font. Visitez [ https://fingerbank.org ] pour plus de détails sur la base de données.

boris42
la source