🦍 🤙 🐟 Alles, was Sie über die MAC-Adresse wissen wollten 🎋 🙎 ❄️

Jeder weiß, dass es sich um sechs Bytes handelt, die normalerweise im Hexadezimalformat angezeigt werden und werkseitig einer Netzwerkkarte zugewiesen wurden. Auf den ersten Blick sind sie zufällig. Einige Leute wissen, dass die ersten drei Bytes der Adresse die Kennung des Herstellers sind und die restlichen drei Bytes ihnen zugewiesen sind. Es ist auch bekannt, dass Sie sich eine beliebige Adresse einstellen können. Viele haben über die "zufälligen Adressen" in Wi-Fi gehört.

Lassen Sie uns herausfinden, was es ist.

MAC-Adresse (Media Access Control-Adresse) - eine eindeutige Kennung, die einem Netzwerkadapter zugewiesen wird und in IEEE 802-Standardnetzwerken, hauptsächlich Ethernet, Wi-Fi und Bluetooth, verwendet wird. Offiziell wird es als "EUI-48-Typenkennung" bezeichnet. Aus dem Namen geht hervor, dass die Adresse 48 Bit lang ist, d. 6 Bytes. Es gibt keinen allgemein akzeptierten Standard für das Schreiben einer Adresse (im Gegensatz zu einer IPv4-Adresse, bei der Oktette immer durch Punkte getrennt sind). Es wird normalerweise als sechs Hexadezimalzahlen geschrieben, die durch einen Doppelpunkt getrennt sind: 00: AB: CD: EF: 11: 22, obwohl einige Gerätehersteller es vorziehen, wie 00 zu schreiben -AB-CD-EF-11-22 und sogar 00ab.cdef.1122.

In der Vergangenheit wurden die Adressen im ROM des Netzwerkkarten-Chipsatzes zusammengefügt, ohne dass die Möglichkeit bestand, sie ohne einen Flash-Programmierer zu ändern. Derzeit kann die Adresse jedoch über das Betriebssystem programmgesteuert geändert werden. Sie können die MAC-Adresse der Netzwerkkarte unter Linux und MacOS (immer), Windows (fast immer, wenn der Treiber dies zulässt) und Android (nur root) manuell festlegen. Mit iOS (ohne root) ist ein ähnlicher Trick unmöglich.

Adressstruktur

Die Adresse besteht aus einem Teil der Herstellerkennung (OUI) und der vom Hersteller zugewiesenen Kennung. Die OUI (Organizationally Unique Identifier) wird vom IEEE vergeben. Tatsächlich kann seine Länge nicht nur 3 Bytes (24 Bits) sein, sondern 28 oder 36 Bits, aus denen Blöcke (MAC Address Block, MA) von Adressen der Typen Large (MA-L), Medium (MA-M) und Small gebildet werden (MA-S). Die Größe des ausgegebenen Blocks beträgt in diesem Fall 24, 20, 12 Bit oder 16 Millionen, 1 Million, viertausend Adressen. Derzeit sind rund 38.000 Blöcke verteilt, die mit zahlreichen Online-Tools wie IEEE oder Wireshark angezeigt werden können.

Wem gehören die Adressen?

Die einfache Verarbeitung der öffentlich zugänglichen IEEE- Upload-Datenbank liefert viele Informationen. Beispielsweise haben einige Organisationen viele OUI-Blöcke belegt. Hier sind unsere Helden:

Verkäufer	Die Anzahl der Blöcke / Datensätze	Die Anzahl der Adressen, Millionen
Cisco Systems Inc	888	14208
Apple	772	12352
Samsung	636	10144
Huawei Technologies Co. Ltd	606	9696
Intel Corporation	375	5776
ARRIS Group Inc.	319	5104
Nokia Corporation	241	3856
Privat	232	2704
Texas Instruments	212	3392
zte corporation	198	3168
IEEE Registrierungsstelle	194	3072
Hewlett Packard	149	2384
Hon Hai Präzision	136	2176
TP-LINK	134	2144
Dell Inc.	123	1968
Juniper Networks	110	1760
Sagemcom Broadband SAS	97	1552
Fiberhome Telecommunication Technologies Co. LTD	97	1552
Xiaomi Communications Co Ltd	88	1408
Guangdong Oppo Mobile Telecommunications Corp.Ltd	82	1312

Google hat nur 40 von ihnen, und das ist nicht verwunderlich: Sie produzieren selbst nicht so viele Netzwerkgeräte.

MA-Blöcke werden nicht kostenlos zur Verfügung gestellt. Sie können für angemessenes Geld (ohne monatliche Gebühr) für 3000, 1800 bzw. 755 US-Dollar erworben werden. Es ist interessant, dass Sie für das zusätzliche Geld (pro Jahr) die "Verschleierung" von öffentlichen Informationen über den zugewiesenen Block erwerben können. Wie oben zu sehen ist, gibt es jetzt 232 davon.

Wann wird die MAC-Adresse ausgehen?

Wir alle haben es satt, die zehnjährige Geschichte zu erzählen, dass "IPv4-Adressen bald ausgehen". Ja, neue IPv4-Blöcke sind nicht mehr einfach zu beschaffen. Es ist auch bekannt, dass IP-Adressen extrem ungleich verteilt sind. Es gibt gigantische und wenig genutzte Blöcke, die sich im Besitz großer Unternehmen und der US-Regierung befinden, jedoch ohne große Hoffnung auf eine Umverteilung zugunsten der Bedürftigen. Die Verbreitung von NAT, CG-NAT und IPv6 hat das Problem des Mangels an öffentlichen Adressen weniger akut gemacht.

Die MAC-Adresse enthält 48 Bits, von denen 46 als "nützlich" angesehen werden können (warum? Weiterlesen). Dies ergibt 2 ⁴⁶ oder 10 ¹⁴ Adressen, was dem 2 ^14- fachen des IPv4-Adressraums entspricht.
Derzeit sind rund eine halbe Billion Adressen verteilt, das sind nur 0,73% des Gesamtvolumens. Die Erschöpfung der MAC-Adressen ist immer noch sehr, sehr weit.

Zufälliges Bit

Es kann davon ausgegangen werden, dass OUIs zufällig verteilt werden und der Anbieter dann auch einzelnen Netzwerkgeräten zufällig Adressen zuweist. Ist es so? Sehen wir uns die Verteilung der Bits in den MAC-Datenbanken der Adressen an, die mir für 802.11-Geräte zur Verfügung stehen, die von funktionierenden Autorisierungssystemen in drahtlosen WNAM- Netzwerken gesammelt wurden. Die Adressen gehören zu realen Geräten, die seit mehreren Jahren in drei Ländern mit Wi-Fi verbunden sind. Darüber hinaus gibt es eine kleine Anzahl von 802.3-LAN-Geräten.

Wir teilen jede MAC-Adresse (sechs Bytes) von jedem der Samples in bitweise auf und untersuchen die Häufigkeit des Auftretens des "1" -Bits an jeder der 48 Stellen. Wenn das Bit völlig willkürlich gesetzt ist, sollte die Wahrscheinlichkeit, eine "1" zu erhalten, 50% betragen.

	WLAN-Beispiel Nr. 1 (RF)	Wi-Fi Probe Nr. 2 (Weißrussland)	Wi-Fi Probe Nr. 3 (Usbekistan)	LAN-Beispiel (RF)
Die Anzahl der Datensätze in der Datenbank	5929000	1274000	366000	1000
Bit Nummer:	% bit "1"	% bit "1"	% bit "1"	% bit "1"
1	48,6%	49,2%	50,7%	28,7%
2	44,8%	49,1%	47,7%	30,7%
3	46,7%	48,3%	46,8%	35,8%
4	48,0%	48,6%	49,8%	37,1%
5	45,7%	46,9%	47,0%	32,3%
6	46,6%	46,7%	47,8%	27,1%
7	0,3%	0,3%	0,2%	0,7%
8	0,0%	0,0%	0,0%	0,0%

9	48,1%	50,6%	49,4%	38,1%
10	49,1%	50,2%	47,4%	42,7%
11	50,8%	50,0%	50,6%	42,9%
12	49,0%	48,4%	48,2%	53,7%
13	47,6%	47,0%	46,3%	48,5%
14	47,5%	47,4%	51,7%	46,8%
15	48,3%	47,5%	48,7%	46,1%
16	50,6%	50,4%	51,2%	45,3%

17	49,4%	50,4%	54,3%	38,2%
18	49,8%	50,5%	51,5%	51,9%
19	51,6%	53,3%	53,9%	42,6%
20	46,6%	46,1%	45,5%	48,4%
21	51,7%	52,9%	47,7%	48,9%
22	49,2%	49,6%	41,6%	49,8%
23	51,2%	50,9%	47,0%	41,9%
24	49,5%	50,2%	50,1%	47,5%

25	47,1%	47,3%	47,7%	44,2%
26	48,6%	48,6%	49,2%	43,9%
27	49,8%	49,0%	49,7%	48,9%
28	49,3%	49,3%	49,7%	55,1%
29.	49,5%	49,4%	49,8%	49,8%
30	49,8%	49,8%	49,7%	52,1%
31	49,5%	49,7%	49,6%	46,6%
32	49,4%	49,7%	49,5%	47,5%

33	49,4%	49,8%	49,7%	48,3%
34	49,7%	50,0%	49,6%	44,9%
35	49,9%	50,0%	50,0%	50,6%
36	49,9%	49,9%	49,8%	49,1%
37	49,8%	50,0%	49,9%	51,4%
38	50,0%	50,0%	49,8%	51,8%
39	49,9%	50,0%	49,9%	55,7%
40	50,0%	50,0%	50,0%	49,5%

41	49,9%	50,0%	49,9%	52,2%
42	50,0%	50,0%	50,0%	53,9%
43	50,1%	50,0%	50,3%	56,1%
44	50,1%	50,0%	50,1%	45,8%
45	50,0%	50,0%	50,1%	50,1%
46	50,0%	50,0%	50,1%	49,5%
47	49,2%	49,4%	49,7%	45,2%
48	49,9%	50,1%	50,7%	54,6%

Woher kommt diese Ungerechtigkeit in Bit 7 und 8? Es gibt fast immer Nullen.

Tatsächlich definiert der Standard diese Bits als speziell ( Wikipedia ):

Das achte (von Anfang an) Bit des ersten Bytes der MAC-Adresse wird als Unicast / Multicast-Bit bezeichnet und bestimmt, welcher Rahmentyp (Frame) mit dieser Adresse gesendet wird, normal (0) oder rundgesendet (1) (Multicast oder rundgesendet). Für eine normale Unicast-Netzwerkadapter-Interaktion wird dieses Bit in allen an ihn gesendeten Paketen auf "0" gesetzt.

Das siebte (von Anfang an) Bit des ersten Bytes der MAC-Adresse wird als U / L-Bit (Universal / Local) bezeichnet und bestimmt, ob die Adresse global eindeutig (0) oder lokal eindeutig (1) ist. Standardmäßig sind alle "vom Hersteller zusammengestellten" Adressen global eindeutig, daher enthält die überwiegende Anzahl gesammelter MAC-Adressen das auf "0" gesetzte siebte Bit. In der Tabelle der zugewiesenen OUI-Kennungen haben nur etwa 130 Einträge ein U / L-Bit „1“, und dies sind höchstwahrscheinlich MAC-Adressblöcke für spezielle Anforderungen.

Vom sechsten bis zum ersten Bit des ersten Bytes sind die Bits des zweiten und dritten Bytes in OUI-Kennungen und insbesondere die Bits in 4 bis 6 Bytes der vom Hersteller zugewiesenen Adresse mehr oder weniger gleichmäßig verteilt.

Somit sind in der realen MAC-Adresse des Netzwerkadapters die Bits praktisch gleich und haben keine technologische Bedeutung, mit Ausnahme von zwei Overhead-Bits des High-Bytes.

Verbreitung

Ich frage mich, welche Hersteller von drahtlosen Geräten am beliebtesten sind? Kombinieren Sie die OUI-Suche mit den Beispieldaten Nr. 1.

Verkäufer	Der Anteil der Geräte,%
Apple	26.09
Samsung	19,79
Huawei Technologies Co. Ltd	7,80
Xiaomi Communications Co Ltd	6,83
Sony Mobile Communications Inc	3.29
LG Electronics (Mobilfunk)	2,76
ASUSTek COMPUTER INC.	2,58
TCT mobile ltd	2.13
zte corporation	2.00
nicht in IEEE-Datenbank gefunden	1,92
Lenovo Mobile Communication Technology Ltd.	1,71
HTC Corporation	1,68
Murata Manufactuaring	1,31
Inpro comm	1.26
Microsoft Corporation	1,11
Shenzhen TINNO Mobile Technology Corp.	1,02
Motorola (Wuhan) Mobility Technologies Communication Co. Ltd.	0,93
Nokia Corporation	0,88
Shanghai Wind Technologies Co. Ltd	0,74
Lenovo Mobilkommunikation (Wuhan) Company Limited	0,71

Die Praxis zeigt, dass der Anteil der Apple-Geräte umso größer ist, je größer das Kontingent der drahtlosen Teilnehmer an diesem Ort ist.

Einzigartigkeit

Sind MAC-Adressen eindeutig? Theoretisch ja, da jeder Gerätehersteller (Besitzer des MA-Geräts) für jeden seiner Netzwerkadapter eine eindeutige Adresse angeben muss. Einige Chiphersteller, nämlich:

00: 0A: F5 Airgo Networks, Inc. (jetzt Qualcomm)
00.08.22 InPro Comm (jetzt MediaTek)

Setzen Sie die letzten drei Bytes der MAC-Adresse auf eine Zufallszahl, anscheinend nach jedem Neustart des Geräts. In meiner Stichprobe Nr. 1 befanden sich 82.000 solcher Adressen.

Sie können sich einen Fremden und nicht eine eindeutige Adresse aussuchen, indem Sie sie absichtlich „wie einen Nachbarn“ einrichten, als Schnüffler definieren oder nach dem Zufallsprinzip auswählen. Sie können auch versehentlich eine nicht eindeutige Adresse festlegen, indem Sie beispielsweise eine Sicherungskonfiguration eines Routers wie Mikrotik oder OpenWrt wiederherstellen.

Was passiert, wenn zwei Geräte mit derselben MAC-Adresse im Netzwerk vorhanden sind? Es hängt alles von der Logik der Netzwerkgeräte ab (verkabelter Router, kabelloser Netzwerkcontroller). Höchstwahrscheinlich funktionieren beide Geräte entweder nicht oder nur zeitweise. Aus Sicht der IEEE-Standards wird vorgeschlagen, den Schutz vor Fälschung von MAC-Adressen zu lösen, indem beispielsweise MACsec oder 802.1X verwendet werden.

Was ist, wenn Sie sich einen MAC mit dem siebten oder achten Bit auf "1" setzen, d. H. lokale oder Multicast-Adresse? Höchstwahrscheinlich beachtet Ihr Netzwerk dies nicht, aber formal entspricht eine solche Adresse nicht dem Standard, und es ist besser, dies nicht zu tun.

Wie funktioniert die Randomisierung?

Wir wissen, dass zur Verhinderung der Verfolgung von Personenbewegungen durch Scannen der Luft und Sammeln von MAC-Betriebssystemen von Smartphones die Randomisierungstechnologie seit mehreren Jahren verwendet wird. Theoretisch sendet das Smartphone beim Scannen von Luft auf der Suche nach bekannten Netzwerken ein Paket (eine Gruppe von Paketen) vom Typ 802.11 Probe Request mit der MAC-Adresse als Quelle:

Mit der enthaltenen Randomisierung können Sie nicht "geflasht", sondern eine andere Quelladresse des Pakets angeben, die sich mit jedem Scan-Zyklus zeitlich oder irgendwie ändert. Funktioniert das Schauen wir uns die Statistiken der gesammelten MAC-Adressen aus der Luft mit dem sogenannten "Wi-Fi-Radar" an:

	Ganze Probe	Sampling mit nur 7m Bit
Die Anzahl der Datensätze in der Datenbank	3920000	305.000
Bit Nummer:	% bit "1"	% bit "1"
1	66,1%	43,3%
2	66,5%	43,4%
3	31,7%	43,8%
4	66,6%	46,4%
5	66,7%	45,7%
6	31,9%	46,4%
7	92,2%	0,0%
8	0,0%	0,0%

9	67,2%	47,5%
10	32,3%	45,6%
11	66,9%	45,3%
12	32,3%	46,8%
13	32,6%	50,1%
14	33,0%	56,1%
15	32,5%	45,0%
16	67,2%	48,3%

17	33,2%	56,9%
18	33,3%	56,8%
19	33,3%	56,3%
20	66,8%	43,2%
21	67,0%	46,4%
22	32,6%	50,1%
23	32,9%	51,2%
24	67,6%	52,2%

25	49,8%	47,8%
26	50,0%	50,0%
27	50,0%	50,2%
28	50,0%	49,8%
29.	50,0%	49,4%
30	50,0%	50,0%
31	50,0%	49,7%
32	50,0%	49,9%

33	50,0%	49,7%
34	50,0%	49,6%
35	50,0%	50,1%
36	50,0%	49,5%
37	50,0%	49,9%
38	50,0%	49,8%
39	50,0%	49,9%
40	50,0%	50,1%

41	50,0%	50,2%
42	50,0%	50,2%
43	50,0%	50,1%
44	50,0%	50,1%
45	50,0%	50,0%
46	50,0%	49,8%
47	50,0%	49,8%
48	50,1%	50,9%

Das Bild ist völlig anders.

Das 8. Bit des ersten Bytes der MAC-Adresse stimmt weiterhin mit der Unicast-Art der SRC-Adresse im Prüfanforderungspaket überein.

Das 7. Bit ist in 92,2% der Fälle auf Lokal gesetzt, d. H. Mit einiger Sicherheit können wir davon ausgehen, dass genau so viele Adressen zufällig gesammelt werden und weniger als 8% real sind. Darüber hinaus stimmt die Verteilung der Bits in der OUI für solche reellen Adressen ungefähr mit den Daten in der vorhergehenden Tabelle überein.

Zu welchem Hersteller gehören laut OUI die zufälligen Adressen (also mit dem 7. Bit in „1“)?

Hersteller von OUI	Teilen Sie unter allen Adressen
nicht in IEEE-Datenbank gefunden	62,45%
Google Inc.	37,54%
der Rest	0,01%

Darüber hinaus gehören alle Google zugewiesenen zufälligen Adressen zu einer OUI mit dem Präfix DA: A1: 19 . Was ist das Präfix? Schauen wir uns den Quellcode für Android an .

private static final MacAddress BASE_GOOGLE_MAC = MacAddress.fromString("da:a1:19:0:0:0");

Der serienmäßige Android verwendet eine spezielle, registrierte OUI, eine der wenigen mit dem siebten gesetzten Bit, bei der Suche nach drahtlosen Netzwerken.

Berechnen Sie den realen MAC nach dem Zufallsprinzip

Schauen wir uns das an:

 private static final long VALID_LONG_MASK = (1L << 48) - 1; private static final long LOCALLY_ASSIGNED_MASK = MacAddress.fromString("2:0:0:0:0:0").mAddr; private static final long MULTICAST_MASK = MacAddress.fromString("1:0:0:0:0:0").mAddr; public static @NonNull MacAddress createRandomUnicastAddress(MacAddress base, Random r) { long addr; if (base == null) { addr = r.nextLong() & VALID_LONG_MASK; } else { addr = (base.mAddr & OUI_MASK) | (NIC_MASK & r.nextLong()); } addr |= LOCALLY_ASSIGNED_MASK; addr &= ~MULTICAST_MASK; MacAddress mac = new MacAddress(addr); if (mac.equals(DEFAULT_MAC_ADDRESS)) { return createRandomUnicastAddress(base, r); } return mac; }

Die gesamte Adresse oder ihre mindestens drei Bytes sind reine Random.nextLong () . "Patentierte Wiederherstellung von echten MAS" - ein Betrug. Mit hoher Sicherheit ist zu erwarten, dass Hersteller von Android-Telefonen andere nicht registrierte OUIs verwenden. Wir haben keine iOS-Quellen, aber höchstwahrscheinlich wird dort ein ähnlicher Algorithmus verwendet.

Das Obige hebt den Betrieb anderer Mechanismen der Deanonymisierung von Wi-Fi-Teilnehmern auf der Grundlage der Analyse anderer Felder des Untersuchungsanforderungsrahmens oder der Korrelation der relativen Häufigkeit der vom Gerät gesendeten Anforderungen nicht auf. Die zuverlässige Verfolgung eines Teilnehmers durch externe Mittel ist jedoch äußerst problematisch. Die gesammelten Daten eignen sich besser zur Analyse der Durchschnitts- / Spitzenlast nach Ort und Zeit, basierend auf einer großen Anzahl, ohne Bezugnahme auf bestimmte Geräte und Personen. Genaue Daten sind nur für diejenigen, die "drinnen", die Hersteller von mobilen Betriebssystemen selbst, Anwendungen installiert haben.

Was kann gefährlich sein, wenn jemand anderes die MAC-Adresse Ihres Geräts herausfindet? Für drahtgebundene und drahtlose Netzwerke kann ein Denial-of-Service-Angriff organisiert werden. Bei einem drahtlosen Gerät ist es außerdem mit einiger Wahrscheinlichkeit möglich, den Zeitpunkt des Auftretens an dem Ort zu bestimmen, an dem der Sensor installiert ist. Indem Sie die Adresse fälschen, können Sie versuchen, sich als Ihr Gerät auszugeben, was nur funktioniert, wenn Sie keine zusätzlichen Sicherheitsfunktionen (Autorisierung und / oder Verschlüsselung) verwenden. 99,9% der Menschen hier haben nichts zu befürchten.

Die MAC-Adresse ist komplexer als sie sich anhört, aber einfacher als sie sein könnte.

Alles, was Sie über die MAC-Adresse wissen wollten