为什么捕获的大多数探测请求在其 MAC 地址中具有无效的 OUI?

网络工程 MAC地址 移动的 IEEE-802.11
2021-07-23 07:19:39

我正在复制一些研究,其中根据用户在发送 802.11 探测请求时要求的 SSID 对其进行分析。我只捕获了探测请求,所以信息来自客户端而不是 AP。

每个探测请求都包含发送者的 MAC 地址,以及他们正在寻找的 SSID。我从我居住的城市周围收集了大约 200,000 个探针,我收集的超过 70% 的探针具有未在 IEEE OUI 数据库中列出的 MAC 地址。

大约一半的 MAC 地址设置了自分配位,我希望 iOS8 设备发送探测请求,但我不认为我会期望设备的比例是 iPhone,因为它们相对于 Android 的市场份额。

我从那个数据集中得到的统计数据是 9% 的 Apple,36% 没有自分配位集的无效 OUI,34% 有自分配位集无效,以及 20% 的有效供应商而不是 Apple。

考虑到如果为每个探测请求随机生成一个新的 MAC 地址,那么 43% 的用户要么是自行分配的,要么是专门为 Apple 分配的,这似乎是 iOS 用户。

但是,我仍然不确定为什么会有如此大比例的无效 OUI。

我找不到任何关于在任何操作系统中广泛采用随机 MAC 地址的来源;有人建议几个“小名”供应商可能会生成无效/随机的 MAC 以防止不得不购买自己的 OUI,但我没想到它们的比例会如此之高。

因此,总而言之:在发送探测请求时,采样的 70% 的 MAC 地址的 OUI 无效,其中只有大约一半设置了“自分配”位,因此我可以找到大约一半无效的地址;有谁知道这可能是为什么?

2个回答

事实证明,我正在使用的数据库不完整。我在 Ubuntu 14.04 上使用“python-netaddr”,这明显小于 Wireshark 组合的 IEEE+misc 数据库。在我解决这个问题后,除了极少数 MAC 之外,所有的 MAC 都有有效的供应商,这是我所期待的结果。

一些设备在探测请求中使用 MAC 随机化技术。

他们使用伪造的 MAC 地址来发送探测请求。我发现我的 HTC One A9 在执行 WPS 连接时使用了这种技术。它的 MAC 是 80:01:84:xx:xx:xx,但是,在使用 Wireshark 探测 WPS 时,我只能看到许多 Google OUI 设备探测到我的路由器。

苹果已经在 iOS Link 的第 8 版中采用了 MAC 地址随机化也请检查此链接

这可能是您发现这么多具有​​无效 OUI 的设备的原因。

其它你可能感兴趣的问题
上一篇RANCID 乱序保存配置行 下一篇Cisco“cbQosClassMapStats”和“cbQosPoliceStats”SNMP对象之间的区别