我的学校最近要求我们将MAC地址和指定名称一起提交给学校,以用于连接Wi-Fi。以前不需要。

我想问一下他们可以从中收集哪些信息?他们是否可以追踪我们的浏览历史或更多?如果我使用Tor浏览器怎么办?

如果他们可以跟踪我,我可以采取哪些措施防止他们入侵我的隐私?

评论

“我可以采取什么措施来防止他们侵犯我的隐私?” -不要将其WiFi用作任何您想保密的东西。

@brhans但是,您不必走极端。您可以使用端到端加密(例如,Whatsapp应该是安全的)或VPN来隧穿所有流量。

我在家庭网络中使用“ MAC过滤”来防止外部人的有害访问。可以将其想象为MAC地址的白名单,包括所有有权访问的MAC地址,或者黑名单,包括那些无权访问的MAC地址。

您是否考虑过告诉他们您的设备每次启动时都从00:50:56:00:00:00到00:50:56:3f:ff:ff:ff的范围内随机选择一个MAC地址,因此您需要保留他们全部?

@cyanide:他们不会。他们会说“您可能无法将此设备连接到我们的网络”,并且不允许其通过无线访问点进行身份验证。

#1 楼

我想您应该问他们为什么要使用MAC地址,不一定是出于隐私原因。 “为什么需要MAC地址?”我认为问他们是一个合理的问题。

首先,它们将具有连接到WiFi的所有个人的MAC地址。连接到WiFi的任何设备都将根据ARP协议显示其MAC地址。

他们可能认为将WiFi锁定到已知的MAC地址是一种很好的安全措施。这不是真的,因为如果我们两个人都在同一个星巴克和同一个WiFi中,我可以获取您的MAC地址。然后,我可以很容易地欺骗您的MAC地址。因此,从安全性角度来说,这并不是很好。

他们可能想要跟踪您的活动。他们已经可以做到这一点,而无需您提供MAC,只需为其提供MAC地址,即可轻松将其映射到个人。他们可以从日志中获取MAC和IP地址的历史记录,他们的NAT可以保留IP地址和端口的历史记录并映射回MAC地址。

如果您使用Tor,他们将能够说您使用了Tor,但没有使用内容。

因此,我想问一问您为什么要我的MAC地址,但给出MAC地址并不会真正影响您。当然,除非在家庭WiFi或其他设备上,否则您将使用MAC地址作为识别自己身份的方法;因为MAC地址很容易被欺骗。

评论


我个人认为,试图说服学校IT技术政策是愚蠢的学生(即使是愚蠢的)不太可能为学生带来有用的结果。他们似乎很轻率地争论。使用组织的网络进行私人个人活动并不总是明智的,而且很少有不可剥夺的权利。

– RedGrittyBrick
16年8月4日在16:31



如果他们使用MAC跟踪学生,那么这听起来像是诱骗您不喜欢的学生的好方法。第1步:欺骗他们的MAC,因为它们位于同一网络中;第2步:下载大量色情内容:)

–大卫说恢复莫妮卡
16年8月4日在20:23

“任何连接到WIFI的设备都会根据ARP协议给出MAC地址。” -您的计算机通过WiFi或以太网发送的每个数据包均包含您的MAC地址。它是物理层协议的一部分,与ARP无关。

– marcelm
16年8月4日在21:52

@DavidGrinberg:也许您认为“学生正在下载色情内容”在某种程度上值得关注,但对于网络管理员来说,这是星期二。不知何故,我认为您提出的拖钓技术不是非常有效。

–凯文
16年8月5日在6:08



@svick:具有客户端证书的WPA2企业。

–R .. GitHub停止帮助ICE
16年8月5日在20:32

#2 楼

对于学校而言,拥有所有学生设备的MAC地址(唯一的硬件标识符)是一种从LAN过滤掉大量不需要的流量的方法。即使来自非学生的外部设备欺骗了合法的,由学生注册的MAC,通过网络发送的数据包仍然可以被捕获,打开,并且可以观察到用户代理和其他系统标识符。这样一来,网络管理员就可以知道是否有人在使用欺骗性的MAC,然后管理员就可以轻松地从接入点有效引导该MAC,而无需过滤特定的MAC(如果这样做的话)会使用包过滤块来阻止合法学生。 >
使用MAC地址寄存器有助于检查谁应该连接,谁不连接。但这只是一种安全方法。还有其他一些东西,例如第三方专有或开源工具,可以确定用户代理以及许多其他东西,例如系统硬件规格,所使用的操作系统,浏览器插件等。即使这些东西本身都是被欺骗的。这些将标识TOR守护程序/浏览器用户以及Tails用户(通过TOR网络发送所有系统和Web流量的Linux操作系统)。

如果希望避免被跟踪,可以采用以下几种方法:


不要使用学校局域网。
使用可引导的拇指驱动器和USB wifi适配器。
创建虚拟无线接口和自定义接口配置文件。
使用带有拇指驱动器的虚拟机。
通过合法的学生设备(例如虚拟NIC)进行隧道<使用桥接到real
接口的即席虚拟接口创建的br />。欺骗VNIC标识符。

这只是少数几种方法,也不是最佳方法。通过一些研究,您可能会发现更多。

评论


我不确定IT管理员是否会实施深度数据包检查(为此他们还需要HTTPS代理)以检测User-Agent中的更改(可能由使用其他浏览器引起)或异常检测网络浏览流量。我也很好奇您认为可以在以太网包中捕获哪些设备信息。我也想知道如果您不能使用它的MAC地址,您将如何踢网络的特定设备。如果他们使用MAC地址过滤作为安全措施,那么他们肯定不会使用基于证书的身份验证。

– BlueCacti
16年8月5日在9:57



@ArtOfCode这是您学校非常繁重的监视策略。但是,可以非常容易地欺骗用户代理和MAC地址。唯一让我担心的是它们会拦截并检查所有流量,包括HTTPS。这将使他们能够查看捕获您的凭据和敏感数据。

– BlueCacti
16年8月5日,11:45

@mikato:在ArtOfCode的示例中,他们明确要求用户安装并信任根CA证书,该证书将允许防火墙欺骗所有内容和MitM连接。

– hmakholm留在Monica上
16年8月5日在20:23



@GroundZero:这是什么学校?他们需要被命名和羞辱(并可能被起诉)。

–R .. GitHub停止帮助ICE
16年8月6日在2:14

@R ..这不是在我的学校发生的,而是在ArtOfCode的。如果当地(隐私/网络犯罪)立法允许,公司或学校可以这样做。在大多数情况下,这必须包含在学校/劳动合同中,并且不能用于任意嗅探员工/学生的互联网行为。

– BlueCacti
16年8月8日在8:58

#3 楼

好吧,因为您过去已连接到学校的接入点,所以学校已经有了您的MAC地址。他们根本不知道您的MAC地址和您的真实姓名之间的关联。
如果这与您有关,请在上学时使用其他MAC:

ip link set dev wlp1 address XX:XX:XX:XX:XX:XX


选择一个本地管理的MAC,以避免与在同一AP上使用其制造商分配的MAC的设备发生冲突。

请注意,恶意用户将运行airodump-ng来发现另一名学生的MAC地址,并使用aireplay-ng -0将该学生踢出网络,然后使用其MAC模仿他们。如果您的学校认为MAC过滤具有良好的安全性,那么他们将大为惊喜!

评论


这应该在学校普及,以确保MAC想法迅速消失-早在我上学的时候,他们就试图推出指纹扫描仪,但带有一些奇怪而又迅速打破的承诺,即可以提高安全性。

– Mark K Cowan
16年8月5日在12:15

我应该怎么做才能发现另一个学生的MAC地址?我应该在哪里运行airodump-ng?您是否有一个很好的资源来教某人在网络上嗅探MAC地址?

–氰化物
16年8月6日在15:14

“您有很好的教学资源”您是否尝试过使用@cyanide来搜索“ airodump-ng”?

– AnoE
16年8月8日在9:12



@Navin使用aircrack-ng套件阻止合法学生的工作可能会短暂地起作用,但是如果您欺骗同一个Mac来显示与真正的学生一样的身份,并且不断取消对同一Mac的身份验证,那么您将无法进行连接学生。无论是合法学生还是被欺骗的人,如果使用aireplay-ng -0取消对HWaddr的身份验证:00:11:22:33:44:55而您将HWaddr欺骗为00:11:22:33:44:55,那么您也将被取消身份验证。

–妖怪
16年8月20日在7:33

#4 楼

他们可能不会在跟踪措施方面考虑它,而是作为提供WiFi密码的替代方法。 MAC地址白名单是一个很常见的选择。

如果他们提供了一个WiFi密码以进行任何未登录的操作,则会阻止其他学生提供这些详细信息。每个MAC地址的白名单阻止了此信息的轻松传递。

当然,存在MAC地址欺骗的问题。但是要使用欺骗的MAC地址连接到网络,您将需要知道一个已经可以访问的MAC地址。而且,如果可以追溯到您的MAC地址,那么您可能不想与朋友共享此信息。最后,如果您欺骗了您一次给他们的MAC地址,它只会阻止您连接。

关于隐私,如果他们具有检索从设备发送的MAC地址以匹配它的MAC地址的技术手段进入其白名单,没有什么可以阻止其防火墙记录其他信息并与您的mac地址匹配。例如,我们在防火墙日志中获得了返回的IP。我们只需转到我们的MAC地址列表,然后在其中搜索使用该IP的MAC地址即可。

由于它们可以拦截流量,因此也可以使您对正在使用的已知应用程序有一个大致的了解,并且您正在浏览的网站。另一方面,由于可能涉及的工作,虽然不太可能详细了解您的活动。因此,尽管他们可能不知道消息X的内容,但他们可能知道您在服务Y或网站Z上将消息发送到何处。底线是隐私问题,请避免连接到他们的网络。或至少避免在他们的网络上进行您希望不公开的活动。

评论


MAC地址欺骗很简单:如果您距离WiFi足够近,可以连接到它,那么您就足够接近看到与之相连的每台计算机的MAC地址。

–马克
16年8月4日在20:17

@Mark我不建议学校将MAC地址用于白名单。我只是指出这就是他们这样做的原因。那是投票否决的原因吗?

–培根·布拉德
16年8月4日在20:24

@baconface,您的第三段似乎暗示着很难获得已知的用于欺骗的MAC地址。

– dan1111
16年8月5日在9:51

@cyanide,您只需要一个无线嗅探器,例如airodump-ng或Kismet -启动它,选择要监视的AP,让它运行几分钟,就可以看到每个人的MAC地址列表谁目前处于连接状态。

–马克
16年8月6日在18:32



@cyanide AP是一个(无线)访问点,是发出WiFi信号以便您可以连接到它的设备。如果您不了解(无线)联网的基础知识,建议不要使用这些工具中的任何一个。最好先自学一些有关以太网,IP,MAC地址,WiFi协议等方面的常规知识,然后再研究无线嗅探和欺骗。

– BlueCacti
16年8月8日在8:52

#5 楼


我想问一下他们可以从中收集哪些信息?


拥有您的MAC地址有助于分析日志文件。
网络日志文件通常包含IP地址和有关连接的一些信息。例如,以下虚构日志条目将表明IP地址为10.10.100.123的设备已连接到IP地址为216.58.210.46的系统(google。 com)在端口443(HTTPS)上。

TIMESTAMP        | SOURCE IP:PORT       | DEST IP:PORT
-----------------------------------------------------------
2016-08-05 12:11 | 10.10.100.123:123456 | 216.58.210.46:443


对其他日志文件(例如DHCP租约)的进一步研究可能表明内部IP地址10.10.100.123已分发。到MAC地址01:23:45:67:89:01。

IP ADDRESS    | MAC ADDRESS       | LEASE START      | LEASE END
-----------------------------------------------------------------------
10.10.100.123 | 01:23:45:67:89:01 | 2016-08-03 09:35 | 2016-08-10 09:35


然后该MAC地址可以与特定设备的网络适配器匹配学生。

这允许学校或任何能够请求学校日志文件的机构(例如执法机构)追溯某些在线活动。
如果有犯罪嫌疑人gation显示该学校的公共IP地址与某些非法活动有关,可能会要求学校移交其日志文件和“ MAC地址-学生”组合列表。
也可能是这种情况学校想追踪哪个学生在浏览18个以上的网站上花费了10%的带宽。

是否可以出于这些原因使用此信息取决于有关隐私和计算机犯罪的当地法律。


他们是否可以追踪我们的浏览历史或更多?


他们无法使用此信息检测您的完整浏览器历史。但是,正如我之前解释的那样,MAC地址可用于将您的设备链接到网络上的某些活动。


如果我使用Tor浏览器怎么办?会不会有效果?


使用Tor不会改变您的设备的网络适配器具有特定MAC地址的事实,并且该MAC地址可以链接到您和您的设备。


如果他们可以跟踪对我而言,我可以采取什么措施来防止它们侵犯我的隐私?


更改设备网络适配器的MAC地址是很简单的。将原始MAC地址(或伪造的MAC地址)交给他们后,更改MAC地址将使IT管理员更难将MAC / IP地址链接到您。
但是,如果网络需要识别,通过Active Directory(每个学生都有一个唯一的用户名可以对网络进行身份验证)或其他某种形式的身份验证(例如,基于证书),他们仍然可以检查日志文件以尝试将IP与您匹配。 />如果学校使用代理,他们还可以嗅探网络流量以搜索个人身份信息,例如您的电子邮件地址或Facebook用户名,……但是我想这在大多数国家/地区将严重违反隐私法规。

其他信息

还可能是您的学校想要在网络上实施基于MAC地址的访问控制,仅允许白名单(允许)的MAC地址连接到网络。

但是,正如其他人指出的那样出(和我稍有接触),可以编辑MAC地址。这样,任何人都可以将自己的MAC地址更改为合法学生的MAC地址,从而授予他们访问网络的权限。
基于MAC地址的访问控制将阻止某些人使用他们从网络管理员那里收到的密码来访问网络。在您学校中成为朋友(因为他们没有知识/技能来绕过这一薄弱的防线),但是这并不会阻止那些决心访问网络的人。

如果学校认真考虑要跟踪学生的网络使用情况和/或希望仅限制对学生的访问,则可以使用更好的替代方法。

其中一个示例是RADIUS身份验证的WiFi。
摘录自:FreeRadius.org


IEEE 802.1X和RADIUS身份验证

Wi-Fi的IEEE标准(IEEE 802.11)预见了“企业”
模式与PSK网络有根本的不同,因为
Wi-Fi加密密钥是按用户和每个会话提供的。每个
用户都需要使用其个人凭据进行身份验证;此时,
会生成密钥并将其传送到用户的设备和他们连接的NAS。

用户发送身份验证凭据之前,用户必须
/>对网络进行身份验证,证明它确实是真实的;只有这样,客户端的凭据才会被释放。 IEEE标准IEEE 802.1X
(使用RADIUS和可扩展身份验证协议,EAP)用于身份验证和密钥管理。

企业Wi-Fi身份验证还支持高级功能。例如
将用户动态地放置到特定的VLAN中(例如,即使在相同的SSID上,单独的guest虚拟机
和人员登录到不同的IP网络),以及动态ACL

/>企业Wi-Fi要求:


可以进行EAP身份验证的RADIUS服务器。
正确配置为使用RADIUS身份验证的Wi-Fi设备。
用户设备配置为可以正确执行企业Wi-Fi。



#6 楼

您没有向学校提供任何其他信息。

当一个人连接到Wifi网络时,一个人已经在显示自己的MAC地址。一个人的计算机与Wifi接入点之间的所有帧都带有源MAC和目标MAC。否则,将无法发送和接收。

,因此学校要求您提供此信息以确保安全,从而使其他人更难以连接。这是一个合理的安全性要求。

它不是很强,因为MAC地址很容易被欺骗。但这有助于在发生故障时进行关联。如果有人使用您的用户使用其他MAC地址,则学校可能会怀疑您的帐户已被黑客入侵。

评论


他正在提供MAC X已链接到用户Y的信息。这“很多”

– niilzon
16年8月5日在13:06

并非如此,因为该链接非常薄弱。 MAC地址在网络上是公共的,任何人都可以声明任何MAC地址。

– David Schwartz
16年8月5日在16:14

@DavidSchwartz虽然大家都知道,比依赖于将MAC地址链接到某个人有任何好处,但实施这种愚蠢策略的学校似乎可能并不了解,这可能会对对行为负责选择欺骗“您的” MAC地址的任何人。

–HopelessN00b
16年8月5日在17:16

@ HopelessN00b我同意。我担心学校认为这些信息比实际有用。如果他们认为很难欺骗或不太可能被欺骗,...

– David Schwartz
16年8月5日在17:30



#7 楼

MAC地址仅表示设备的物理地址。根据ARP协议,设备第二次连接到WIFI时会给出设备的MAC地址。

询问您的MAC地址可以使他们更轻松地过滤允许访问特定网络的设备列表。

我个人认为他们要求您的MAC地址,以便仅让学生访问学校的互联网连接。如果未添加其MAC地址(即使他们具有密码),则随机人将无法访问其网络。

但是,很容易获得某人的MAC地址并更改您的MAC地址以与他们的MAC地址匹配(但我敢打赌,最少的人会采用这种方式)。

要回答您的问题现在,他们将不会真正收集有关您的其他信息。一旦您连接到WIFI,他们便可以立即访问您的MAC地址。但是现在他们能够更快地找到您。

他们可能很容易追踪您的历史,但是这将需要大量工作,我怀疑除非要求,否则学校会做很多工作。他们通常使用代理(介于您和网页之间的中间人)阻止学生访问某些网站或为他们的服务器添加隐私。

使用Tor将使您的历史记录保持匿名,但他们会意识到您使用了这样的互联网浏览器。

可以采取的预防措施:
-使用虚拟框可以在其中编辑MAC地址
-在浏览网络时,您始终可以更改DSN和(虚拟盒子的)代理服务器

还有许多其他方法,但是从某种意义上讲,如果您正在使用某人的网络,则很难防止他人入侵您的隐私。

评论


MAC地址欺骗还向执法人员提供了如果他们选择将书扔给不受欢迎的用户所需的故意不当行为的证据。

– Ben Voigt
16年8月4日在20:18

这不能回答所提出的问题。问题不是在问“他们为什么要求MAC地址过滤?”相反,问题是在问:“学校可以追踪我吗?我该怎么做才能保护自己的隐私?”这个答案没有回答任何这些问题。

– D.W.
16年8月5日,0:59

ARP协议不会分发MAC地址。它们由制造商定义,以唯一地标识网络设备。 IP地址由DHCP分发。 ARP用于查找与某个IP地址匹配的MAC地址

– BlueCacti
16年8月5日在10:08

WiFi不必使用真实机器的收音机吗? VM必须能够对其进行编程以侦听多个Mac,才能使用VM的Mac。

–JDługosz
16年8月6日在23:54

#8 楼


我想问一下他们可以从中收集什么信息?


像其他人提到的那样。最好的方法是问“为什么要我的MAC地址?”


如果我使用Tor浏览器怎么办?这样做会有效吗?他们是否能够跟踪我们的浏览历史。


通过其他一些应用程序和协议当然可以。但不能使用您的MAC地址。

我可以想到的有关MAC地址请求的唯一原因是过滤或欺骗。而且我认为您的学校仅将其作为一种安全措施来过滤谁可以访问互联网。

#9 楼

我认为这不是问题。如果您在Internet上浏览,则不需要MAC地址,仅需要IP地址,因此不会有任何效果。

我认为学校已经实现了这一点,因此,除了学校可以使用Wi-Fi。或者,如果有人有做违法行为的想法,他们可能知道谁(或至少是哪台计算机)这样做了。

关于您的浏览历史记录:我认为他们会在某个位置收集您的浏览历史记录还是学校服务器。但这当然仅适用于您在学校进行的浏览历史记录。例如,如果您前一天晚上用“家庭互联网”在Internet上搜索某些内容,则他们将无法访问该内容,因为它不在学校的网络中。

评论


错误的信息。 MAC是DHCP用来在默认网关的访问点上设置的范围内为接口分配IP地址的接口硬件标识符。如果没有MAC,路由器将不会被告知使用哪个接口来发送和接收数据包。因为没有分配IP地址。因此,流量不会流动。 MAC对于监视LAN以及出于安全原因由谁来做是必不可少的。

–妖怪
16年8月4日在9:31

@Yokai虽然我同意您所说的一切在技术上都是正确的,但我认为您给人一种错误的印象,即MAC地址是一种唯一地标识某人的方法,而事实并非如此。 (本来可以,但是更改您的MAC地址是微不足道的)

–帕特里克M
16年8月6日在16:41