QA@IT

Arpスプーフィングかどうか分かりません(Macアドレスの判定)。

9812 PV

ネットワークに興味を持って勉強をしています。
実務経験はなく、知識は自分の周りで起こることを書籍やGoole検索などで調べています。

個人PCを使用しています。
OSはWindows10 モバイルルーターでインターネットに接続。VPNを使用しています。

最近、インターネット接続をしたところ、セキュリティソフトがArpスプーフィング検知が表示されました。

そこで、コマンドプロンプトでMacアドレスを確認したところ、次の情報が表示されました。
※一部情報をマスクしています。

↓ここから----------------------------------------------------------------------------------
C:>arp /a

インターフェイス: (プライベートネットワークアドレス)
インターネット アドレス     物理アドレス   種類
 IPアドレス(モバイルルータ) a2-××-××-××-××-××   動的 ・・・・・・・※1
 (以下、省略)

インターフェイス: (VPN接続先のアドレス)
インターネット アドレス     物理アドレス     種類
 VPNアドレスのゲートウェイ 〇〇-〇〇-〇5-〇〇-〇〇-〇〇 動的 ・・・・・・・※2
(以下、省略)

C:>route print
インターフェイス一覧
...〇〇 〇〇 〇4 〇〇 〇〇 〇〇 ......VPN接続    ・・・・・・・・・・・・・・・※3
...△△ △△ △△ △△ △△ △△ ......PC無線LAN  ・・・・・・・・・・・・・・・※4
(以下、省略)
↑ここまで----------------------------------------------------------------------------------

【疑問に思ったこと】
1.ベンダーコードを調べたところ、※1と※2、※3は該当なし。※4はベンダーが存在しました。

2.※1のモバイルルータ実機のバッテリーを取り外すとMacアドレスが記載されています(ベンダーコードは存在するベンダー)、
※1と比較すると最初の2文字は「a2」ではなく、「a4」。その後の文字も異なります。

3.※2と※3は6文字目の「5」と「4」だけが異なり、他は一致します。どちらもベンダーコードは該当なし。

【質問】
1.Macアドレスの最初の6文字でベンダーコードに該当しないケースはMacアドレス改ざん以外に存在するのでしょうか?
2.また、この情報からArpスプーフィングかどうか判定はできるでしょうか?

回答

1.Macアドレスの最初の6文字でベンダーコードに該当しないケースはMacアドレス改ざん以外に存在するのでしょうか?

はい、ローカルアドレスが存在します。例えば※1の「a2-××-××-××-××-××」は先頭オクテットのローカルビットが立っているので、ローカルアドレスです。他方「a4-××-××-××-××-××」の方はグローバルアドレスで、上位3オクテットはOUI(ベンダコード)です。ローカルアドレスのことはこのあたりを参照して下さい。

MACアドレス - Wikipedia

2.また、この情報からArpスプーフィングかどうか判定はできるでしょうか?

いいえ、この情報だけだと分からないですが、IPアドレスとMACアドレスの正しい対応づけが分かっているなら、どれがスプーフィングかは分かるはずです。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。