MAC ADRESS DI UN COMPUTER IN LAN

Questa è una guida pratica che mostra come scoprire il Mac Address, ovvero l’indirizzo fisico univoco di un’interfaccia di rete. Per farlo bastano comandi standard di Windows, accessibili tramite prompt dei comandi.

Conoscendo il Mac Address è possibile risalire al tipo di dispositivo utilizzato dal computer remoto; insieme all’analisi del ttl icmp può servire come semplice tecnica di fingerprinting.

In una rete Tcp/Ip tutti i computer hanno un indirizzo logico, l’Ip address, formato da quattro numeri (per esempio 192.168.1.12). I computer, o meglio le inferfacce di rete, e nel caso più comune di una rete di computer, le schede Ethernet, sono dotate di un indirizzo fisico, il Mac Address, fornato da sei numeri esadecimali (per esempio, 00-01-02-AA-BB-CC). I primi tre numeri identificano il costruttore, gli ultimi tre sono diversi in ogni modello.

Associare l’indirizzo fisico (Mac) all’indirizzo logico (Ip) è compito del protocollo ARP (Address Resolution Protocol). Il sistema mantiene  una tabella di associazioni, in cui sono registrati gli indirizzi Ip ed il loro Mac corrispondente. Quando un computer deve contattare un altro computer, per sapere a quale dispositivo deve mandare i dati, cerca nella tabella ARP a quale indirizzo fisico corrisponde l’indirizzo Ip.

Veniamo allo scopo dell’articolo: scoprire il Mac Address di un computer della LAN di cui conosciamo solo l’indirizzo Ip, per esempio il router. Per farlo ci servono due tool: arp e ping.

Per prima cosa apriamo il prompt dei comandi (Start- > Esegui -> cmd.exe). Dal prompt visualizziamo la tabella arp con il comando arp -a:

C:\Documents and Settings\angelor>arp -a

Impossibile trovare voci ARP

In questo caso la tabella è vuota. Per “riempirla” basta eseguire il comando ping, usando come parametro l’indirizzo Ip noto del computer di cui vogliamo ottenere il Mac Address:

C:\Documents and Settings\angelor>ping 192.168.1.1

Esecuzione di Ping 192.168.1.1 con 32 byte di dati:

Risposta da 192.168.1.1: byte=32 durata=4ms TTL=64

Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64

Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64

Risposta da 192.168.1.1: byte=32 durata=3ms TTL=64

A questo punto nella tabella arp dovrebbe essere presente il Mac Address associato all’indirizzo Ip 192.168.1.1:

C:\Documents and Settings\angelor>arp -a

Interfaccia: 192.168.1.6 --- 0x2

Indirizzo Internet    Indirizzo fisico      Tipo

192.168.1.1           00-18-f8-XX-XX-XX     dinamico

Infatti ecco il Mac Address del router: 00-18-f8-XX-XX-XX.  A Questo punto è facile risalire al costruttore del router, basta inserire l’indirizzo nella casella di ricerca del sito http://www.coffer.com/mac_find/ per scoprire che si tratta di un Linksys:

0018F8      Cisco-Linksys, LLC

Ora sappiamo che il router è un Linksys, e dando un’occhiata al ttl del ping possiamo supporre che il sistema operativo sia una versione di Linux.
Author: Angelo Righi