通过 MAC 地址验证 TCP 连接是否来自同一台计算机

Question

请不要批评该解决方案。这不是我的设计，是的，它很糟糕。

在运行 Linux 并使用 C 的计算机上，我们需要验证与进程建立的 TCP 连接是否来自同一台计算机。通过 IP 地址执行此操作是有问题的，因为操作系统生成两个 IP 地址，而进程只知道一个。无论如何，通过IP地址验证有点差劲。

我们希望通过将“远程”MAC 地址与本地 MAC 地址进行比较来进行验证。我们已经获得本地 MAC 地址。我需要知道的是如何获取“远程”MAC 地址。它位于形成连接时发送的数据包中（以及所有后续连接中）。我们如何将它拖出以太网层呢？

在有人再说一遍之前，我知道如果远程主机不在同一子网/LAN 上，您将无法获取远程主机的 MAC 地址。没关系。大概我们会得到类似 00:00:00:00:00:00 的东西，因为它与本地 MAC 地址不同，所以会有所不同 - 这正是我们想要的。

--

那么，总而言之，我们有一个 TCP 连接套接字 fd，我们收到了一个数据包，那么我们如何找到远程主机的 MAC 地址，即数据包标头中的 MAC 地址？

Answer 1

如果我理解正确的话，您并不是试图区分远程计算机，而是使用源 MAC 和目标 MAC 匹配从计算机发送到自身的流量的想法，以便仅允许本地流量。

这看起来相当迂回，并且已经被指出，是不安全的。

更好的想法可能是让 TCP 客户端仅侦听环回接口 (127.0.0.1)，而不侦听 INADDR_ANY。或者更进一步，使用 unix 域套接字而不是 TCP 套接字（当今 X 服务器使用的一种常用方法，以防止远程连接的可能性）

Answer 2

实时同子网 TCP 连接的 MAC 地址几乎肯定会在 ARP 缓存中。

在 Linux 上，您可以通过查看 /proc/net/arp 来检查 ARP 缓存。这是它在我的 Ubuntu 机器上的样子：

aix@aix:~$ cat /proc/net/arp
IP address       HW type     Flags       HW address            Mask     Device
10.0.0.32        0x1         0x2         00:1e:4f:f5:be:dc     *        eth0
10.10.10.1       0x1         0x2         00:1f:6c:3e:02:e3     *        eth0

如果您不愿意解析伪文件，您可能可以使用一些可调用的 API 来获取相同的数据。

Answer 3

如何配置防火墙（内部或外部）来阻止或 MAC 过滤相关端口上的外部流量？

Answer 4

环回连接（无论是通过环回接口还是其他接口）不会通过任何以太网设备进行路由，因此没有与其关联的 MAC 地址。

我建议您只使用 getsockname 和 getpeername 来获取本地和远程 IP 地址并比较它们是否相等。这无需事先了解系统配置的 IP 地址即可工作。

此外，如果您想与 IPv4/v6 无关，可以使用 getnameinfo 和 NI_NUMERIC 标志将两个地址转换为数字字符串表示形式和 strcmp > 他们。