Câu hỏi Làm cách nào để tránh hiển thị địa chỉ MAC của tôi khi sử dụng IPv6?


Trên máy Mac của tôi, mỗi địa chỉ IPv6 bao gồm địa chỉ MAC của một máy tính cụ thể (không phải của bộ định tuyến của tôi). Các trang web như ipv6-test.com không chỉ hiển thị nó, mà còn cho tôi biết nó thuộc về máy tính Apple.

Điều này giống như một siêu cookie và có thể áp dụng cho các hệ điều hành khác. Làm thế nào tôi có thể tránh các địa chỉ MAC của tôi bị lộ ra?

Bối cảnh: địa chỉ MAC là không ở trong tầm nhìn đơn giản. Thích 2001:0db8:1:2:60:8ff:fe52:f9d8:

  • Lấy 64 bit cuối cùng (số nhận dạng máy chủ) và thêm các số 0 hàng đầu: 0060:08ff:fe52:f9d8.
  • Dải ff:fe một phần từ giữa. Nếu các byte này không có ở đó, sau đó không có địa chỉ MAC.
  • Đối với byte đầu tiên: bổ sung bit thứ tự thấp thứ hai (bit chung / cục bộ, nếu bit là 1, làm cho nó 0, và nếu nó là 0, làm cho nó 1). Vì thế: 0x00 (00000000) trở thành 0x02 (00000010).
  • Mau: 60:8ff:fe52:f9d8 dịch trở lại địa chỉ MAC 02:60:08:52:f9:d8.

Lưu ý: kể từ macOS 10,12 Sierra, theo Ars Technica Apple đã áp dụng một cách mới để tạo ra các địa chỉ ổn định không dựa trên địa chỉ MAC, mà Windows dường như đã làm trong nhiều năm.


Câu hỏi này là Câu hỏi của người dùng trong tuần.
  Đọc mục blog để biết thêm chi tiết hoặc đóng góp cho blog bản thân bạn


132
2018-02-09 17:26


gốc


Wow Tôi không biết rằng về IPV6, tốt đẹp tìm thấy. - Not Kyle stop stalking me
Vâng, tất nhiên nó cho thấy một máy tính Apple. Đó là một địa chỉ MAC, sau khi tất cả. - Graeme Perrow
@ Kronos, một hình ảnh đã mất tích trên mục blog; blog.superuser.com/2011/02/11/… Thêm ".stack" vào URL sẽ giúp: i.stack.imgur.com/RNXoA.png - Arjan
... nhưng, @KronoS, thêm ".stack" thực sự tạo ra một biểu mẫu hình ảnh khác mà cùng một bài đăng trên blog biến mất, như i.imgur.com/vjK73.png (okay) i.stack.imgur.com/vjK73.png (không ổn). Nói cách khác: có thể tất cả các hình ảnh trên blog hiện không sử dụng .stack nên được tải lên lại ...? - Arjan
@Arjan Tôi không chắc chắn. Tôi sẽ phải kiểm tra điều này. Tôi muốn cho một tính năng mà tất cả hình ảnh được tải lên blog được tự động tải lên tài khoản imgur của chồng. Tương tự như những gì các trang web thông thường làm hiện tại - KronoS


Các câu trả lời:


Đây là những gì IPv6 Địa chỉ bảo mật là cho. Khi được bật, hệ thống sẽ tạo một địa chỉ tạm thời với hậu tố ngẫu nhiên ngoài địa chỉ dựa trên EUI-64.

  • các cửa sổ (bắt đầu với XP SP2) - được bật theo mặc định trong XP, Vista, 7:

    netsh interface ipv6 set privacy state=enabled
    

    Lưu ý rằng Windows không còn sử dụng địa chỉ MAC cho IPv6 nữa - nó đã bắt đầu sử dụng một lược đồ tương tự như RFC 7217, với các địa chỉ trên mỗi mạng duy nhất.

  • Linux với NetworkManager:

    Các phiên bản gần đây của NetworkManager xử lý RA theo cách riêng của chúng, mặc dù hai giá trị dưới đây có ý nghĩa giống hệt với sysctl (2 = thích địa chỉ riêng tư, 1 = thích địa chỉ chính):

    nmcli con modify <name> ipv6.ip6-privacy 2
    

    Ngoài ra, kể từ 1.2.0, chế độ tốt hơn đã có sẵn, thay đổi chủ yếu địa chỉ không còn dựa trên MAC mà thay vào đó là duy nhất cho mỗi mạng (RFC 7217):

    nmcli con modify <name> ipv6.addr-gen-mode stable-privacy
    

    (Lưu ý rằng địa chỉ riêng tư là trực giao với chế độ add-gen, có thể sử dụng cả hai.)

    Side note: Tính đến 1.4.0, NM cũng cho phép ngẫu nhiên địa chỉ MAC. Bộ wifi.cloned-mac-address đến stable để có một MAC khác nhau cho mỗi mạng (được khuyến nghị), hoặc random để ngẫu nhiên hóa nó cho mỗi kết nối (có thể gây ra vấn đề).

    Trong tất cả trường hợp, <name> phải là tên kết nối, ví dụ: SSID WiFi hoặc "Wired Connection 1". Sử dụng nmcli con để liệt kê tất cả.

    Để đặt giá trị này làm mặc định cho Mới kết nối, kể từ 1.2.0 bạn có thể thay đổi /etc/NetworkManager/NetworkManager.conf:

    [connection]
    ipv6.addr-gen-mode=stable-privacy
    wifi.cloned-mac-address=stable
    
  • Linux với RA hạt nhân:

    Để bật các địa chỉ tạm thời và làm cho chúng thích hợp hơn cho các kết nối gửi đi:

    sysctl net.ipv6.conf.all.use_tempaddr=2
    sysctl net.ipv6.conf.default.use_tempaddr=2
    

    Để bật tạo địa chỉ tạm thời, nhưng giữ địa chỉ cũ (Autoconf) như được ưu tiên:

    sysctl net.ipv6.conf.all.use_tempaddr=1
    sysctl net.ipv6.conf.default.use_tempaddr=1
    

    Các all hoặc là default một phần có thể được thay thế bằng một tên giao diện cụ thể; ví dụ. net.ipv6.conf.eth0.use_tempaddr.

    (Tôi đã sử dụng ip link set eth0 down && ip link set eth0 up để buộc gán địa chỉ, nhưng bạn cũng có thể chạy rdisc6 eth0 hoặc chỉ cần đợi một vài phút cho bản tin Router Advertisement tiếp theo.)

  • Mac OS X - được bật theo mặc định từ OS X 10.7 Lion:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    Địa chỉ tạm thời, nếu được bật, sẽ được ưu tiên.

  • FreeBSD:

    sysctl net.inet6.ip6.use_tempaddr=1
    
    sysctl net.inet6.ip6.prefer_tempaddr=1
    
  • NetBSD:

    sysctl -w net.inet6.ip6.use_tempaddr=1
    

    Tùy chọn địa chỉ tạm thời? Tôi không có ý kiến. Địa chỉ autoconf dường như được ưa thích. ifconfig không xuất hiện để liệt kê bất kỳ thuộc tính địa chỉ nào.

  • OpenBSD - hỗ trợ được thêm vào 5,2; được bật và được ưu tiên theo mặc định trong 5.3.

    ifconfig em0 autoconfprivacy
    

    ifconfig hiển thị "tự động bảo mật" bên cạnh địa chỉ tạm thời.

Lưu ý về cấu hình:

  • Trên Linux, OS X và tất cả BSD, chỉnh sửa /etc/sysctl.conf để đặt cài đặt vĩnh viễn.

  • Trên Windows, các thay đổi sẽ tự động tồn tại.

    (Nối store=active đến netsh nếu bạn muốn nó chỉ kéo dài cho đến khi khởi động lại.)


Một phần dựa trên Hệ điều hành IPv6 tại IPv6INT.net. Xem thêm Ghi chú chung về IPv6


Nếu địa chỉ phần cứng được sử dụng trong địa chỉ IPv6, điều đó thường có nghĩa là mạng của bạn sử dụng tính năng Tự động định cấu hình không gian IPv6. Trong trường hợp này, bạn có thể chỉ cần chọn hậu tố địa chỉ của riêng mình và định cấu hình IPv6 theo cách thủ công.

Tuy nhiên, mặc dù địa chỉ được thêm theo cách thủ công sẽ không có thông tin phần cứng của bạn, nhưng nó sẽ vẫn tĩnh (không giống với Địa chỉ bảo mật, thay đổi thường xuyên địa chỉ). Ngoài ra, địa chỉ tĩnh có thể là một cơn đau trong một mạng lớn hơn 2-3 thiết bị.


126
2018-02-09 18:48



Hiệu ứng phụ tốt đẹp trên máy Mac của tôi và FRITZ! Bộ định tuyến hộp 7340: Tôi nhận được hai địa chỉ trong ifconfig. Các kết nối gửi đi sử dụng ngẫu nhiên autoconf temporaryđịa chỉ, thay đổi mọi lúc và sau đó. Tốt! Nhưng đối với các kết nối đến (khi được mở trong bộ định tuyến của tôi), tôi vẫn có thể sử dụng autoconf địa chỉ nhà. Tôi không nhớ lộ ra rằng trong bản ghi DNS (mặc dù có lẽ tôi thậm chí có thể chọn một địa chỉ khác cho điều đó nữa). - Arjan
Ahh, sau whois-spamming bây giờ chúng tôi nhận được spam IPv6: đào-AAAA www.v6.facebook.com ;-) - Arjan
@Arjan: Địa chỉ IPv6 dọc theo các dòng de4d:b33f không phải là xấu để ghi nhớ; ngoài ra, chúng được đưa ra bởi chủ sở hữu của họ, trong khi whois thư rác là một) gây phiền nhiễu và b) do người bên ngoài không có quyền kiểm soát miền của bạn gây ra. - grawity
Là một sang một bên: có vẻ như (một số) ở trên có thể cho hệ điều hành biết thích hơn địa chỉ tạm thời, nhưng các ứng dụng vẫn có thể ghi đè tùy chọn này. - Arjan
AFAICS sử dụng địa chỉ tạm thời (bảo mật IPv6) có hiệu quả không thể sử dụng được với một số ISP do quảng cáo bộ định tuyến có thời lượng tối đa ngắn vô lý là 40, điều này sẽ ghi đè cài đặt hạt nhân. Linux thấy ip a cho preferred_lft. Vì thế ssh các kết nối sẽ ngắt mỗi 40 giây nếu bạn bật tính năng này. Nó thậm chí không thể sử dụng cho người lướt web bình thường, vì mỗi lần tải xuống phải được hoàn thành trong vòng 40 giây. - Tino


FYI, điều này chỉ áp dụng cho các chương trình định địa chỉ IP nhất định. Nhiều khả năng bạn (hoặc ISP của bạn) đang sử dụng tính năng tự động cấu hình IPv6, yêu cầu một khối IP khá lớn để thực hiện ngay từ đầu. Giải pháp có thể là tắt tính năng này. ISP của bạn cũng có thể sử dụng DHCP để gán địa chỉ, vẫn có thể với IPv6.


1
2018-02-09 20:49



Đối với các khối lớn: theo tới Wikipedia trong "Phân bổ chung": RIR gán các khối nhỏ hơn cho các ISP, sau đó phân phối chúng trong / 48 phần có kích thước cho khách hàng của họ. Thật vậy, ISP của tôi cũng chỉ định / 48 tiền tố cho người đăng ký cấp người tiêu dùng. Không quá lẻ? - Arjan
Sau đó đổ lỗi cho Wikipedia và bản thảo của Arin Gói địa chỉ IPv6: Tất cả các khách hàng nhận được một / 48 trừ khi họ có thể cho thấy rằng họ cần hơn 65k mạng con. Nhưng cũng: Nếu bạn có nhiều khách hàng tiêu dùng, bạn có thể muốn chỉ định / 56 cho các trang web riêng tư - vẫn còn nhiều hơn tôi không bao giờ nhu cầu. ;-) Nhưng, mọi thứ có thể thay đổi: ISP của tôi không bao giờ đã hứa điều này, mặc dù rõ ràng khách hàng của họ đã cấu hình modem / router dựa trên điều này. - Arjan
Tôi nghĩ khi Arin nói "khách hàng" họ có nghĩa là "ISP". Bất kỳ ISP nào (bao gồm cả những ISP rất lớn) có thể phân bổ một / 64 cho toàn bộ mạng của họ và được thực hiện với nó. Không yêu cầu định tuyến thêm. Nhưng việc phân bổ các khối địa chỉ IP đánh số trong hàng nghìn tỷ cho các khách hàng dân cư bình thường là hoàn toàn ngu xuẩn. - Ernie Dunbar
Rõ ràng, một lý do để chỉ định ít nhất một /56: "ISP chỉ phát hành một đĩa đơn /64 ngăn chặn bạn từ bất kỳ subnetting nào cả. Nếu đó /64 là trên giao diện WAN sau đó bạn sẽ không bao giờ có được phong nha IPv6 trên mạng LAN của bạn (s). Đây là lỗi của ISP và họ nên khắc phục điều này bằng cách đưa ra một số tiền phong nha (/48 hoặc là /56) của địa chỉ. " - Arjan
A / 64 không phải là "một khối khá lớn"; nó là nhỏ nhất khối phân bổ hợp lý cho mạng con. Một số tính năng IPv6 yêu cầu phải có mạng con / 64 và bạn đã quên (hoặc không nhận ra) rằng IPv6 được thiết kế phần lớn để ngăn chặn bất kỳ ai không bao giờhết địa chỉ một lần nữa. Bạn phải giải phóng tâm trí của bạn khỏi tư duy cũ về việc cần phải bảo tồn các địa chỉ quý giá; nó không có chỗ trong IPv6. - Michael Hampton