MAC-Adresse
Die MAC-Adresse (Media-Access-Control-Address, auch Media Access Code) ist die Nummer eines Gerätes auf einer Datenverbindung. Anhand dieser Nummer werden über die Verbindung laufende Daten den Geräten zugeordnet.
Die MAC-Adresse ist die Hardware-Adresse jedes einzelnen Netzadapters, die als eindeutiger Identifikator des Geräts in einem Rechnernetz dient. Man spricht auch von physischer Adresse[1] oder Geräteadresse.[2] Bei Apple wird sie auch Ethernet-ID, Airport-ID oder Wi-Fi-Adresse genannt, bei Microsoft Physikalische Adresse.
Einzelheiten
Medium
Die in Rechnernetzen verwendeten Übertragungsmedien sind üblicherweise Kupferkabel (Twisted-Pair-Kabel), Lichtwellenleiter und Funk (WLAN). Über das Übertragungsmedium werden in der Bitübertragungsschicht Bitsequenzen gesendet, die in der nächsthöheren Schicht (Sicherungsschicht) zu Frames zusammengefügt werden. Zur eindeutigen Adressierung von Rechnern auf der Leitungsschicht dient die MAC-Adresse. Jede Ethernet-, WLAN- oder Bluetooth-Netzwerkkarte besitzt solch eine eindeutige MAC-Adresse, unter der sie angesprochen werden kann. Obwohl sie effektiv nur in lokalen Netzen eine Bedeutung haben, sind MAC-Adressen üblicherweise global eindeutig und besitzen keinerlei Strukturmerkmale, die für die Wegewahl (Routing) genutzt werden können.
Physikalische Adresse
Der MAC wird auch als physikalische Adresse bezeichnet, weil er teilweise vom Hersteller in ein Gerät fest und nicht veränderbar einprogrammiert ist. Sofern Betriebssystem und Hardware dies unterstützen kann die MAC-Adresse jedoch auch von dem Benutzer geändert werden. Dazu wird seit 2020 auf die Randomisierung von MAC-Adressen gesetzt, wie das seit Android 10 oder iOS 14 standardmäßig der Fall ist. Damit soll ein Nachverfolgen von Nutzern verhindert werden, da dies ein Datenschutzrisiko darstellt.
Zugriff vom Medium (Media Access Control)
Auf einem Funkkanal oder einem Koaxialkabel sind die Daten mehrerer Geräte unterwegs, die für verschiedene Empfänger bestimmt sind. Anhand des MAC sucht der Empfänger die Daten heraus, die für das eigene Gerät bestimmt sind. Dazu beginnt jedes Datenpaket mit dem MAC des Empfängers. Passt der MAC nicht, wird das Datenpaket nicht verarbeitet.
Da der MAC vom Hersteller in die Schaltung eingebaut wurde, ist die Schaltung unmittelbar nach dem Einschalten des Stromes betriebsbereit. Das Lesen des Mediums verbrauchte keine Rechenzeit. Während der Übertragung von Datenpaketen mit unpassenden MAC können Teile des Empfängers abgeschaltet werden, um Strom zu sparen.
Bei Ethernet, WLAN und ähnlichen Netzwerktechnologien steuert der MAC nicht den schreibenden (sendenden) Zugriff auf das Medium.
Zugriff auf das Netzwerk (Network Access Control)
Der MAC kann benutzt werden, um Geräte zu identifizieren und den Zugriff auf ein Netz zu steuern.
Jugendschutz: Im Heimnetz kann den Geräten der Kinder nachts der Zugriff auf das Netz entzogen werden.
Spionageschutz: Im Unternehmen kann Geräten mit unbekannten MAC der Zugriff auf das Firmennetz verweigert werden.
Gastnetze: Sowohl im Heim als auch im Unternehmen können fremde Geräte mit speziellen Gastnetzen verbunden werden.
Ein Zugriffsschutz anhand des MAC ist begrenzt. Der Zugriff auf das (Funk-)Medium wird nicht unterbunden. So können im Heimnetz die ausgesperrten Kinder u. U. das Netz eines Nachbarn benutzen.
Wenn ein Gerät die Änderung des MAC erlaubt, können Sperren umgangen werden.
Um die Anonymität eines Gerätes zu verbessern, benutzen manche Geräte einen MAC, der vollständig oder zum Teil aus Zufallszahlen besteht und gelegentlich gewechselt wird. Damit ist die Identifikation eines Gerätes anhand des MAC nicht mehr gegeben. Nach dem Wechsel des MAC muss das Gerät in den Netzwerken, die nur bekannte Geräte bedienen, erneut bekannt gemacht werden.
Code
Im MAC sind folgende Angaben kodiert:
- Ist die Adresse eindeutig einem Gerät zugeordnet oder betrifft sie mehrere Geräte (Multicast, Broadcast), siehe unten Empfängergruppe
- Ist die Adresse weltweit eindeutig koordiniert oder wurde sie unkoordiniert vergeben, siehe unten Vergabestelle
- Bei den koordinierten Adressen ist der Hersteller enthalten, siehe unten Herstellerkennungen
- Der Hersteller kann in den MAC die Seriennummer des Gerätes einbringen
Funktion im Netzwerk
Die MAC-Adresse wird der Sicherungsschicht (Schicht 2) des OSI-Modells zugeordnet; im vom IEEE erweiterten OSI-Modell wird sie der Unterschicht Media Access Control (Schicht 2a) zugeordnet. Um die Sicherungsschicht mit der nächsthöheren Schicht, der Vermittlungsschicht, zu verbinden, wird z. B. bei Ethernet das Address Resolution Protocol im Rahmen von IPv4 verwendet. Im IPv6 übernimmt ein neues Protokoll diese Funktion, das Neighbor Discovery Protocol (NDP).
Netzwerkgeräte brauchen dann eine MAC-Adresse, wenn sie auf Schicht 2 explizit adressiert werden sollen, um Dienste auf höheren Schichten anzubieten; leitet das Gerät dagegen wie ein Repeater oder Hub die Netzwerkpakete nur weiter, so ist es auf der Sicherungsschicht nicht sichtbar und braucht folglich keine MAC-Adresse.
Bridges und Switches untersuchen zwar die Pakete der Sicherungsschicht, um das Netzwerk in mehrere Kollisionsdomänen aufzuteilen, nehmen aber selbst nicht aktiv an der Kommunikation teil, brauchen also für diese Basisfunktionen ebenfalls keine MAC-Adresse. Ein Switch benötigt jedoch eine MAC-Adresse, wenn er selbst über das Rechnernetz administriert wird oder Monitoring-Dienste anbietet (z. B. über Telnet, SNMP oder HTTP). Eine MAC-Adresse wird ebenfalls benötigt, wenn Bridges oder Switches den Spanning-Tree-Algorithmus zur Vermeidung von Schleifen in redundant ausgelegten Rechnernetzen verwenden.
Form (Syntax)
Im Falle von Ethernet-Netzen besteht die MAC-Adresse aus 48 Bit bzw. sechs Bytes. Die Adressen werden in der Regel hexadezimal geschrieben.
Üblich ist dabei eine byteweise Schreibweise, wobei die einzelnen Bytes durch Bindestriche oder Doppelpunkte voneinander getrennt werden, z. B.
00-80-41-ae-fd-7e
008041-aefd7e
oder00:80:41:ae:fd:7e
.
Seltener zu finden sind Angaben wie
008041aefd7e
oder0080.41ae.fd7e
.
Die Reihenfolge der Zeichen ist allerdings nicht bei allen Anwendungen gleich. Man unterscheidet hier zwischen der kanonischen und der „Bit-reversed“-Darstellung. Die kanonische Form wird für Darstellungen bevorzugt.
Kanonische Darstellung
Die übliche Darstellung von MAC-Adressen, wie sie beispielsweise in der Ausgabe von ipconfig/ifconfig erscheint, wird auch als kanonisches Format („canonical form“, „LSB format“ bzw. „Ethernet format“) bezeichnet. Es gibt die Reihenfolge an, in der die Adresse in IEEE 802.3 (Ethernet) und IEEE 802.4 (Token Bus) übertragen wird. Hier startet die Übertragung mit dem niederwertigsten Bit (Least Significant Bit, LSB) eines Oktetts (Ausnahme ist die Frame Check Sequence, FCS).
Bit-reversed-Darstellung
IEEE 802.5 (Token Ring) und IEEE 802.6 starten die Übertragung mit dem höchstwertigen Bit (MSB, most significant bit). Dies kann leicht zu Missverständnissen führen, wenn nicht angegeben wird, ob von der kanonischen Darstellung in normaler Bytedarstellung oder von der umgekehrten Bitübertragungsdarstellung die Rede ist. Eine Adresse, deren kanonische Form beispielsweise 12-34-56-78-9A-BC
ist, wird bei der Standardübertragung (LSB zuerst, heißt: von rechts nach links gelesen) auf der Leitung in Form der
Bitfolge 01001000 00101100 01101010 00011110 01011001 00111101
übertragen.
In Token-Ring-Netzwerken (MSB zuerst, heißt: von links nach rechts gelesen, also natürlichsprachlich) würde die Übertragung in Form der
Bitfolge 00010010 00110100 01010110 01111000 10011010 10111100
stattfinden.
Wenn dies bei der Umsetzung der Bitfolgen in die kanonische Darstellung nicht konsistent beachtet wird, kann z. B. die letztere Darstellung fälschlicherweise als 48-2C-6A-1E-59-3D
(LSB zuerst) interpretiert werden.
Die Darstellung in Token-Ring-Netzwerken wird dann aber als „Bit-reversed order“, „Non-canonical form“, „MSB format“, „IBM format“, oder „Token Ring format“ wie in RFC 2469 aufgeführt bezeichnet.
Funktion
In jedem Frame nach Ethernet-II-Variante wird vor dem Typfeld und den Daten zunächst die MAC-Adresse des Empfängers und des Senders übertragen. Empfänger und Sender müssen Teil des Local Area Networks (LAN) sein. Soll ein Paket in ein anderes Netz geschickt werden, wird es auf Ethernet-Ebene zunächst an einen Router geschickt. Dieser analysiert die Daten auf der untergeordneten Schicht und vermittelt das Paket dann weiter. Er erzeugt dazu einen neuen Ethernet-Frame, wenn es sich bei dem Nachbarnetz ebenfalls um ein Ethernet handelt. Dazu ersetzt ein Router die MAC-Adressen, d. h. wenn Router R1 ein Ethernet-Frame empfängt und es an den Router R2 weitergeben soll, ersetzt R1 die Quelladresse mit seiner eigenen MAC-Adresse und die Zieladresse mit der Mac-Adresse von R2.
Pseudo-Empfänger „Broadcast-Adresse“
Die MAC-Adresse, bei der alle 48 Bits auf 1 gesetzt sind (ff-ff-ff-ff-ff-ff
), wird als Broadcast-Adresse verwendet, die an alle Geräte in einem LAN gesendet wird. Broadcast-Frames werden ohne besondere Maßnahmen nicht in ein anderes LAN übertragen.
Besondere Kennungen
Empfängergruppe
Das niederwertigste Bit (engl. Least Significant Bit, LSB) des ersten Bytes (Bit 0) einer MAC-Adresse gibt an, ob es sich um eine Einzeladresse oder Gruppenadresse (I/G für Individual/Group) handelt. Bei einem Broadcast oder Multicast wird I/G = 1 gesetzt, sonst und bei Quelladressen ist I/G = 0.
Kurz: I/G ist
- 0 für I (Individual) oder
- 1 für G (Group).
Die meisten Protokolle, welche auf OSI Layer 2 arbeiten, haben besondere MAC-Adressen, sog. MAC-Multicast-Adressen. Das VLAN Trunking Protocol beispielsweise verwendet die Adresse 01-00-0C-CC-CC-CC.[3] Dadurch ist ein Frame an alle Switches gleichzeitig adressiert. Es gibt auch ganze Gruppen von MAC-Multicast-Adressen: Das TRILL-Protokoll beispielsweise verwendet unter anderem 01-80-C2-00-00-00 bis 01-80-C2-00-00-0F.[4] Auch andere Protokolle besitzen besondere, fest zugewiesene, MAC-Adressen.
Vergabestelle
Das folgende 2. Bit (Bit 1, genannt U/L für Universal/Local) zeigt an, ob die MAC-Adresse global eindeutig ist (Universally Administered Address (UAA); U/L = 0) oder lokal administriert wird und nur dort eindeutig ist (Locally Administered Address (LAA); U/L = 1).[5]
Kurz: U/L ist
- 0 für U (Universal) oder
- 1 für L (Local).
Die folgenden Adressbereiche sind lokal und können z. B. für virtuelle Maschinen verwendet werden:
x2:xx:xx:xx:xx:xx x6:xx:xx:xx:xx:xx xA:xx:xx:xx:xx:xx xE:xx:xx:xx:xx:xx
Herstellerkennungen
00-50-8B-xx-xx-xx | Compaq |
00-07-E9-xx-xx-xx | Intel |
00-60-2F-xx-xx-xx | Cisco |
00-15-F2-xx-xx-xx | Asus |
In den nächsten 22 Bits (Bit 2 bis 23) wird eine von der IEEE vergebene Herstellerkennung (auch OUI – Organizationally Unique Identifier genannt) beschrieben, die weitgehend in einer Datenbank einsehbar sind.[6] Die verbleibenden 24 Bits (Bit 24 bis 47) werden vom jeweiligen Hersteller für jede Schnittstelle individuell festgelegt. Compaq zum Beispiel hat eine OUI mit der Adresse 00-50-8b. Innerhalb dieser OUI darf Compaq alle verfügbaren Adressen verwenden, also 00-50-8b-xx-xx-xx. Es ergeben sich 224 = 16777216 (16,8 Millionen) individuelle Adressen.
Neben der OUI existieren zwei kleinere Adressbereiche:
- ein OUI-28, oder MAC Address Block Medium (MA-M), bestehend aus 28 Bits[7]
- ein OUI-36, oder MAC Address Block Small (MA-S), bestehend aus 36 Bits[8]
Diese sind für Privatpersonen und kleinere Firmen und Organisationen vorgesehen, die nicht so viele Adressen benötigen. Die OUI-36 Adresse beginnt mit 36 Bits, die für eine Organisation vergeben werden. Damit verbleibt der Adressbereich innerhalb der Bits 11 bis 0 nutzbar, wodurch 212 = 4096 individuelle Adressen möglich sind. Die MA-M werden durch 28 Bits eindeutig gekennzeichnet und ergeben mit den restlichen 20 Bits: 220 = 1.048.576 individuelle Adressen nach EUI-48. Mehr Geräte können adressiert werden, wenn EUI-64 verwendet wird.
Die Adressen der Schnittstellen jedes netzwerkfähigen Geräts sollten theoretisch weltweit eindeutig vorbelegt sein (es sind aber schon Einzelfälle bekannt geworden, bei denen zwei Netzwerkkarten im selben Netzwerk identische MAC-Adressen besaßen, was zu zunächst völlig unerklärlichen Fehlern führte). Dies kann zur automatischen Konfiguration von Geräten eingesetzt werden und wird von Protokollen wie RARP, BOOTP und DHCP genutzt. Die Software unterstützt es jedoch auch häufig, jeden beliebigen Wert als MAC-Adresse verwenden zu können. Dies wird zum Beispiel bei Backup-Systemen genutzt, wo Ersatzgeräte die MAC-Adresse eines ausgefallenen Geräts übernehmen können.
Manche Software verwendet die MAC-Adresse der ersten Netzwerkkarte zur Identifikation des Rechners, auf dem lizenzierte Programme ausgeführt werden dürfen. Auch die Berechnung einer universellen Identifikation (UUID oder GUID) verwendet neben anderen Teilen diese MAC-Adresse. Da die MAC-Adresse geändert werden kann, raten Sicherheitsexperten allerdings davon ab, die MAC-Adresse als alleiniges Authentifizierungskriterium zu verwenden.
Herstellerunabhängige Kennungen
Neben der Broadcast-Adresse FF-FF-FF-FF-FF-FF
, die alle Geräte in einem lokalen Netzwerk adressiert, werden für IPv4-Multicast MAC-Adressen im Bereich 01-00-5e-00-00-00
bis 01-00-5e-7f-ff-ff
verwendet. Dabei werden dann die unteren 23 Bit der IP-Multicast-Adresse direkt auf die untersten 23 Bit der MAC-Adresse abgebildet. Der IP-Multicast-Adresse 224.0.0.1 ist somit die Multicast-MAC-Adresse 01-00-5e-00-00-01
fest zugeordnet.
Neben den obersten vier Bit, die bei IPv4-Multicast-Adresse stets 1110 sind, verbleiben 5 Bits der IP-Adresse, die nicht in der MAC-Multicast-Adresse abgebildet werden können. Dadurch ist es möglich, dass ein Host MAC-Multicast-Pakete einer Multicast-Gruppe empfängt, zu der er nicht gehört. Diese Pakete werden dann von der IP-Schicht verworfen, da dort die Erkennung auf Basis der IP-Multicast-Adresse möglich ist.
Für IPv6-Multicast wurde der MAC-Adressbereich 33-33-xx-xx-xx-xx reserviert. Dabei werden die untersten 32 Bit der IPv6-Multicast-Adresse in die MAC-Adresse eingebettet.
Für hochverfügbare logische Router nach VRRP ist die herstellerunabhängige Kennung 00-00-5E-00-01-ID
(im Bereich 00-00-5E
) reserviert, wobei das letzte Byte ID für die Kennung des virtuellen Routers steht.[9] Sie bleibt gleich, selbst wenn ein anderer Router den Dienst übernimmt.
Stolperfalle: Kennzeichnung „PRIVATE“
Die Herstellerkennungen, die – wie zum Beispiel AC-DE-48
[10] – in der OUI-Datenbank als „PRIVATE“ gekennzeichnet wurden, sind für Firmen registriert, die ihre Identität nicht öffentlich preisgeben wollen. Adressen aus diesen Bereichen können daher nicht, wie man vermuten würde, für lokale Zwecke eingesetzt werden. (Für lokale Zwecke wird das unter „Vergabestelle“ beschriebene „U/L address bit“ verwendet.)
Ermittlung und Vergabe
Häufig steht die MAC-Adresse, zum Teil in der Seriennummer integriert, auf dem Gerät oder der Netzwerkkarte. Daneben kann man sie per Software auslesen, üblicherweise mit der im Gerät eingebauten Firmware / BIOS. Seit Jahrzehnten werden zusätzliche Programme entwickelt, um sie anzuzeigen oder zu ändern. Die Entwicklungen sind nicht abgeschlossen. Eine Auswahl zeigt die folgende Tabelle:
Betriebssystem | Auslesen (im eigenen System) | Auslesen (in einem fremden System) | Vergabe |
---|---|---|---|
AROS, MorphOS | ifconfig -a | arp -a | |
AIX | netstat -ia | arp -a | |
Android | Einstellungen → Telefoninfo → Hardware-Informationen | ||
bada | Einstellungen → Telefoninfo → Systeminfo | ||
FreeBSD | ifconfig | arp -a | ifconfig <Interface> link <MAC-Adresse> |
HP-UX | lanscan | lanadmin -A 0x<MAC-Adresse> | |
Apple iOS | Einstellungen → Allgemein → Info → Wi-Fi-Adresse | offiziell nicht möglich | |
IOS (Cisco) | show interfaces | configure | |
IRIX | netstat -ia | arp -a | ifconfig <Interface> ether <MAC-Adresse> |
Linux Paket net-tools |
ifconfig |
arp -a |
Bei einigen Netzwerkkarten funktioniert es nur im Promiscuous Mode richtig, also
|
Linux Paket iproute2 |
ip link |
ip neigh |
ip link set dev <Interface> addr <MAC-Adresse> |
Mac OS X | ifconfig |
arp -a |
ifconfig <Interface> ether <MAC-Adresse> oder:
|
NetBSD | ifconfig -a | arp -a | ifconfig <Interface> link <MAC-Adresse> activate |
NeXTStep | ifconfig -a | ||
Nokia S60 | *#MAC0WLAN# (als Vanity-Code) oder
|
||
OpenBSD | ifconfig -a | arp -a | ifconfig <Interface> lladdr <MAC-Adresse> |
OpenVMS | tcpip show interface /full | tcpip show arp | |
OS/2 | netstat -n | über LAPS/MPTS | |
SCO Unix | ndstat | ||
Solaris |
|
arp -a |
|
Tru64 UNIX | netstat -ia | ||
Windows[11][12] |
|
|
|
Windows Mobile 5.0 (Pocket PC) |
|
||
Windows Phone 7 (Ab Version 7.0.7389.0) |
|
Erwerb eines eigenen MAC-Adressraumes
Auf einer Webseite des IEEE[15] können Preise für die Registrierung eigener MAC-Adressbereiche eingesehen werden. Für einen eigenen MAC Address Block werden zwischen 730 und 2905 US-Dollar verlangt (Stand: 5. Juni 2019). Gegen eine zusätzliche jährliche Gebühr kann man diesen Adressbereich auch geheim halten; er ist dann anderen nicht bekannt und man wird nicht in einer öffentlichen Datenbank eingetragen.
Weitere Verwendung
Häufig wird die MAC-Adresse als Zugangsschutz (MAC-Filter) für LANs und WLANs verwendet. Wegen der leichten Änderungsmöglichkeit von MAC-Adressen bietet ein MAC-Filter jedoch nur schwachen Schutz und kann leicht durch MAC-Spoofing ausgehebelt werden.
Einzelnachweise
- Mark A. Dye, Rick McDonald, Antoon W. Rufi: Netzwerkgrundlagen: CCNA exploration companion guide. 2008, ISBN 3827326850, S. 93 (eingeschränkte Vorschau in der Google-Buchsuche)
- Wobei das auch als nur ein Teil davon gesehen werden kann: MAC-Adresse = Herstellercode + Geräteadresse; Frank Morkowsky: Grundlagen der Netzwerktechnik. 2015, ISBN 3734774519, S. 20 (eingeschränkte Vorschau in der Google-Buchsuche)
- http://www.cisco.com/en/US/tech/tk389/tk689/technologies_tech_note09186a0080094c52.shtml VTP reference
- http://www.comconsult-research.de/de/texte/ASA-Probe.pdf@1@2Vorlage:Toter+Link/www.comconsult-research.de (Seite+nicht+mehr+abrufbar,+Suche+in+Webarchiven) Datei:Pictogram+voting+info.svg Info:+Der+Link+wurde+automatisch+als+defekt+markiert.+Bitte+prüfe+den+Link+gemäß+Anleitung+und+entferne+dann+diesen+Hinweis.+ Aktuelle Netzwerkstandards
- Std 802-2001 – IEEE Standard for Local and Metropolitan Area Networks: Overview and Architecture (Englisch) IEEE (The Institute of Electrical and Electronics Engineers, Inc.). S. 21. 7. Februar 2002. Abgerufen am 9. Juli 2010: „The Universally or Locally administered (U/L) address bit is the bit of octet 0 adjacent to the I/G address bit. This bit indicates whether the address has been assigned by a local or universal administrator. Universally administered addresses have this bit set to 0. If this bit is set to 1, the entire address (i. e., 48 bits) has been locally administered.“
- Online-Abfrage der Herstellerkennungen in der OUI-Datenbank bei der IEEE (englisch). (Nicht mehr online verfügbar.) Ehemals im Original; abgerufen am 29. September 2006. (Seite nicht mehr abrufbar, Suche in Webarchiven)
- ieee-webseite Registration Authority der IEEE MA-M(englisch). Abgerufen am 30. Oktober 2014.
- Registration Authority der IEEE MA-S(englisch). Abgerufen am 30. Oktober 2014.
- RFC 3768 Virtual Router Redundancy Protocol (VRRP). Abschnitt „7.3. Virtual Router MAC Address“
- „Public OUI listing“ des IEEE. Abgerufen am 13. September 2018.
- MicrosoftTechNet: Verwendung von „Winipcfg“ zum Einsehen von TCP/IP-Einstellungen
- MicrosoftTechNet: Command-line reference A-Z (englisch)
- fics.ro: MAC Address Spoofing for Windows 98/ME (englisch)
- libe.net: MAC Address Spoofing für Windows 2000/XP
- Preisliste des IEEE (englisch)
Weblinks
- Aktuelle OUI-Liste (CSV-Format). Abgerufen am 21. Dezember 2018.
- RFC2469: A Caution On The Canonical Ordering Of Link-Layer Addresses. Abgerufen am 21. Dezember 2018 (englisch).