Adres MAC

Etykieta routera UMTS z adresami MAC dla modułów LAN i WLAN

Adres kontroli dostępu do nośnika ( adres MAC ) to unikalny identyfikator przypisany do kontrolera interfejsu sieciowego (NIC) używany jako adres sieciowy w komunikacji w segmencie sieci . To zastosowanie jest powszechne w większości technologii sieciowych IEEE 802 , w tym Ethernet , Wi-Fi i Bluetooth . W modelu sieci Open Systems Interconnection (OSI) adresy MAC są wykorzystywane w kontroli dostępu do nośnika podwarstwa protokołu warstwy łącza danych . Jak zwykle, adresy MAC są rozpoznawane jako sześć grup po dwie szesnastkowe , oddzielone myślnikami, dwukropkami lub bez separatora.

Adresy MAC są przypisywane przede wszystkim przez producentów urządzeń i dlatego są często określane jako adresy wbudowane lub adresy sprzętowe Ethernet , adresy sprzętowe lub adresy fizyczne . Każdy adres może być przechowywany sprzętowo, na przykład w pamięci tylko do odczytu karty lub przez mechanizm oprogramowania sprzętowego . Jednak wiele interfejsów sieciowych obsługuje zmianę adresu MAC. unikalny identyfikator organizacyjny producenta (OUI). Adresy MAC są tworzone zgodnie z zasadami dwóch przestrzeni numeracyjnych w oparciu o rozszerzone unikalne identyfikatory (EUI) zarządzane przez Instytut Inżynierów Elektryków i Elektroników (IEEE): EUI-48 — który zastępuje przestarzały termin MAC-48 — oraz EUI-64 .

Węzły sieci z wieloma interfejsami sieciowymi, takie jak routery i przełączniki wielowarstwowe , muszą mieć unikalny adres MAC dla każdej karty sieciowej w tej samej sieci. Jednak dwie karty sieciowe podłączone do dwóch różnych sieci mogą współdzielić ten sam adres MAC.

Dane adresowe

Struktura 48-bitowego adresu MAC. Bit b0 rozróżnia multicast i unicast , a bit b1 rozróżnia adresowanie uniwersalne i administrowane lokalnie.

Adres MAC IEEE 802 pierwotnie pochodzi ze schematu adresowania Ethernet firmy Xerox Network Systems . Ta 48-bitowa przestrzeń adresowa zawiera potencjalnie 2 ⁴⁸ (ponad 281 bilionów) możliwych adresów MAC. IEEE zarządza przydzielaniem adresów MAC, pierwotnie znanych jako MAC-48 i które obecnie określa jako identyfikatory EUI-48 . IEEE ma docelowy czas życia aplikacji wykorzystujących przestrzeń EUI-48 na 100 lat (do 2080 r.) i odpowiednio ogranicza aplikacje. IEEE zachęca do przyjęcia bardziej obfitego EUI-64 dla aplikacji innych niż Ethernet.

Rozróżnienie między identyfikatorami EUI-48 i MAC-48 dotyczy tylko nazwy i zastosowania. MAC-48 był używany do adresowania interfejsów sprzętowych w istniejących aplikacjach sieciowych opartych na 802; EUI-48 jest obecnie używany w sieciach opartych na 802, a także do identyfikacji innych urządzeń i oprogramowania, na przykład Bluetooth . IEEE uważa teraz MAC-48 za przestarzały termin. EUI-48 jest obecnie używany we wszystkich przypadkach. Ponadto system numeracji EUI-64 pierwotnie obejmował zarówno identyfikatory MAC-48, jak i EUI-48 za pomocą prostego mechanizmu translacji. Te tłumaczenia zostały już wycofane.

Indywidualny blok adresów (IAB) jest nieaktywną działalnością rejestru, która została zastąpiona produktem rejestru MA-S (MA-S nosił wcześniej nazwę OUI-36 i nie pokrywa się z adresami IAB) od 1 stycznia 2014 r. IAB używa OUI z rejestru MA-L (duży blok adresów MAC) był wcześniej nazywany rejestrem OUI, termin OUI jest nadal używany, ale nie do wywoływania rejestru należącego do urzędu rejestracyjnego IEEE, połączonego z 12 dodatkowymi bitami dostarczonymi przez IEEE (łącznie 36 bitów), pozostawiając właścicielowi IAB tylko 12 bitów do przypisania do swoich (do 4096) indywidualnych urządzeń. IAB jest idealny dla organizacji wymagających nie więcej niż 4096 unikalnych 48-bitowych numerów (EUI-48). W przeciwieństwie do OUI, które umożliwia cesjonariuszowi przypisywanie wartości w różnych przestrzeniach liczbowych (na przykład EUI-48, EUI-64 i różnych zależnych od kontekstu przestrzeniach numerycznych identyfikatorów, np. SNAP lub EDID (pole VSDB)), indywidualny blok adresów mógł być użyty tylko do przypisania identyfikatorów EUI-48. Wszystkie inne potencjalne zastosowania w oparciu o OUI, z których przydzielono IAB, są zastrzeżone i pozostają własnością organu rejestracyjnego IEEE. Między 2007 a wrześniem 2012 przy zadaniach IAB była używana wartość OUI 00:50:C2. Po wrześniu 2012 r. stosowano wartość 40:D8:55. Właściciele już przypisanego IAB mogą nadal korzystać z przypisania.

Aktywność rejestru MA-S (mały blok adresu MAC) obejmuje zarówno 36-bitowy unikalny numer używany w niektórych standardach, jak i przypisanie bloku identyfikatorów EUI-48 i EUI-64 (podczas gdy właściciel IAB nie może przypisać EUI-64) przez organ rejestracyjny IEEE. MA-S nie obejmuje przypisania OUI.

Istnieje również inny rejestr, który nazywa się MA-M (MAC address block medium). Blok przypisania MA-M zawiera zarówno 2 ²⁰ identyfikatorów EUI-48, jak i 2 ³⁶ identyfikatorów EUI-64 (co oznacza, że pierwsze 28 bitów to bity przypisane przez IEEE). Pierwsze 24 bity przypisanego bloku MA-M to OUI przypisany do IEEE, który nie będzie ponownie przypisany, więc MA-M nie obejmuje przypisania OUI.

Uniwersalny a lokalny (bit U/L)

Adresy mogą być adresami administrowanymi uniwersalnie (UAA) lub adresami administrowanymi lokalnie (LAA). Adres administrowany powszechnie jest jednoznacznie przypisany do urządzenia przez jego producenta. Pierwsze trzy oktety (w kolejności transmisji) identyfikują organizację, która wydała identyfikator i są znane jako unikalny identyfikator organizacyjny (OUI). Pozostała część adresu (trzy oktety dla EUI-48 lub pięć dla EUI-64) jest przydzielana przez tę organizację w prawie dowolny sposób, z zastrzeżeniem ograniczenia unikalności. Lokalnie administrowany adres jest przypisywany do urządzenia przez oprogramowanie lub administratora sieci, zastępując adres wypalony w przypadku urządzeń fizycznych.

Adresy administrowane lokalnie różnią się od adresów administrowanych powszechnie poprzez ustawienie (przypisanie wartości 1) drugiemu najmniej znaczącemu bitowi pierwszego oktetu adresu. Ten bit jest również określany jako U/L , skrót od Universal/Local , który identyfikuje sposób administrowania adresem. ^{[ źródło opublikowane samodzielnie? ]} Jeśli bit ma wartość 0, adres jest administrowany uniwersalnie, dlatego ten bit ma wartość 0 we wszystkich UAA. Jeśli wynosi 1, adres jest administrowany lokalnie. W przykładzie adres 06-00-00-00-00-00 pierwszy oktet to 06 (szesnastkowo), którego postać binarna to 000001 1 0, gdzie drugi najmniej znaczący bit to 1. Dlatego jest to adres administrowany lokalnie. Chociaż wiele hiperwizorów zarządza dynamicznymi adresami MAC w ramach własnego OUI , często przydatne jest utworzenie całego unikalnego adresu MAC w zakresie LAA.

Adresy uniwersalne, które są administrowane lokalnie

W wirtualizacji hiperwizory, takie jak QEMU i Xen , mają własne OUI. Każda nowa maszyna wirtualna jest uruchamiana z adresem MAC ustawionym przez przypisanie trzech ostatnich bajtów, aby były unikalne w sieci lokalnej. Chociaż jest to lokalna administracja adresami MAC, nie jest to LAA w sensie IEEE.

Historycznym przykładem tej sytuacji hybrydowej jest protokół DECnet , w którym uniwersalny adres MAC (OUI AA-00-04, Digital Equipment Corporation) jest administrowany lokalnie. Oprogramowanie DECnet przypisuje ostatnie trzy bajty pełnego adresu MAC jako AA-00-04-00-XX-YY, gdzie XX-YY odzwierciedla adres sieciowy DECnet xx.yy hosta. Eliminuje to potrzebę posiadania przez DECnet protokołu rozpoznawania adresów, ponieważ adres MAC dowolnego hosta DECnet można określić na podstawie jego adresu DECnet.

Emisja pojedyncza a multiemisja (bit I/G)

Najmniej znaczący bit pierwszego oktetu adresu jest określany jako bit I/G lub Indywidualny/Grupowy . ^{[ źródło opublikowane samodzielnie? ]} Kiedy ten bit ma wartość 0 (zero), ramka ma dotrzeć tylko do jednej odbierającej karty sieciowej . Ten typ transmisji nazywa się unicast . Ramka emisji pojedynczej jest przesyłana do wszystkich węzłów w domenie kolizyjnej . W nowoczesnych sieciach przewodowych domeną kolizji jest zwykle długość kabla Ethernet między dwiema kartami sieciowymi. W ustawieniach bezprzewodowych domeną kolizyjną są wszystkie odbiorniki, które mogą wykryć dany sygnał bezprzewodowy. Jeśli przełącznik nie wie, który port prowadzi do danego adresu MAC, przekaże ramkę emisji pojedynczej do wszystkich swoich portów (z wyjątkiem portu źródłowego), co jest znane jako zalewanie emisji pojedynczej . ^{[ źródło opublikowane samodzielnie? ]} Tylko węzeł o pasującym adresie sprzętowym MAC zaakceptuje ramkę; ramki sieciowe z niepasującymi adresami MAC są ignorowane, chyba że urządzenie jest w trybie rozwiązłym .

Jeśli najmniej znaczący bit pierwszego oktetu jest ustawiony na 1 (tzn. druga cyfra szesnastkowa jest nieparzysta) ramka nadal będzie wysłana tylko raz; jednak karty sieciowe zdecydują się je zaakceptować na podstawie kryteriów innych niż dopasowanie adresu MAC: na przykład na podstawie konfigurowalnej listy akceptowanych adresów MAC multiemisji. Nazywa się to multiemisji .

IEEE ma wbudowane kilka specjalnych typów adresów, aby umożliwić jednoczesne adresowanie więcej niż jednej karty sieciowej :

Pakiety wysyłane na adres rozgłoszeniowy , wszystkie z jednym bitem, są odbierane przez wszystkie stacje w sieci lokalnej. W systemie szesnastkowym adres rozgłoszeniowy to FF:FF:FF:FF:FF:FF . Ramka rozgłoszeniowa jest zalewana i przekazywana do wszystkich innych węzłów oraz akceptowana przez te węzły.
Pakiety wysyłane na adres multiemisji są odbierane przez wszystkie stacje w sieci LAN, które zostały skonfigurowane do odbierania pakietów wysyłanych na ten adres.
Adresy funkcjonalne identyfikują jedną lub więcej kart sieciowych Token Ring, które zapewniają określoną usługę, zdefiniowaną w standardzie IEEE 802.5.

To wszystko są przykłady adresów grupowych , w przeciwieństwie do adresów indywidualnych ; najmniej znaczący bit pierwszego oktetu adresu MAC odróżnia adresy indywidualne od adresów grupowych. Ten bit jest ustawiony na 0 w adresach indywidualnych i na 1 w adresach grupowych. Adresy grupowe, podobnie jak adresy indywidualne, mogą być administrowane uniwersalnie lub lokalnie.

Zakresy adresów administrowanych lokalnie i grupowo

Bity U/L i I/G są obsługiwane niezależnie i istnieją przypadki wszystkich czterech możliwości. Multiemisja IPv6 wykorzystuje lokalnie administrowane adresy MAC multiemisji z zakresu 3 3 -33-xx-xx-xx-xx (z ustawionymi obydwoma bitami).

Biorąc pod uwagę położenie bitów U/L i I/G, można je rozróżnić po jednej cyfrze we wspólnej notacji adresu MAC, jak pokazano w poniższej tabeli:

Bity uniwersalne/lokalne i indywidualne/grupowe w adresach MAC
U/L I/G	Powszechnie podawany	Administrowane lokalnie
Emisja pojedyncza (indywidualna)	x 0- xx - xx - xx - xx - xx x 4- xx - xx - xx - xx - xx x 8 - xx - xx - xx - xx - xx x C - xx - xx - xx - xx - xx	x 2- xx - xx - xx - xx - xx x 6- xx - xx - xx - xx - xx x A - xx - xx - xx - xx - xx x E - xx - xx - xx - xx - xx
Multiemisja (grupa)	x 1- xx - xx - xx - xx - xx x 5 - xx - xx - xx - xx - xx x 9 - xx - xx - xx - xx - xx x D - xx - xx - xx - xx - xx	x 3- xx - xx - xx - xx - xx x 7 - xx - xx - xx - xx - xx x B - xx - xx - xx - xx - xx x F - xx - xx - xx - xx - xx

Aplikacje

Następujące technologie sieciowe używają formatu identyfikatora EUI-48:

Sieci IEEE802
- Ethernet
- Sieci bezprzewodowe 802.11 ( Wi-Fi )
- Bluetooth
- IEEE 802.5 Token Ring
Światłowodowy interfejs danych rozproszonych (FDDI)
Tryb transferu asynchronicznego (ATM), tylko przełączane połączenia wirtualne, jako część adresu NSAP
Fibre Channel i Serial Attached SCSI (jako część ogólnoświatowej nazwy )
ITU -T G.hn , który zapewnia sposób na stworzenie szybkiej (do 1 Gb/s) sieci lokalnej przy użyciu istniejącego domowego okablowania ( linie energetyczne , linie telefoniczne i kable koncentryczne ). Warstwa G.hn Application Protocol Convergence (APC) akceptuje ramki Ethernet, które używają formatu EUI-48 i hermetyzuje je w jednostki G.hn Medium Access Control Service Data Units (MSDU).

Każde urządzenie, które łączy się z siecią IEEE 802 (taką jak Ethernet i Wi-Fi) ma adres EUI-48. Powszechnie używane sieciowe urządzenia konsumenckie, takie jak komputery PC, smartfony i tablety, używają adresów EUI-48.

Identyfikatory EUI-64 stosowane są w:

IEEE 1394 (FireWire)
InfiniBand
IPv6 (Zmodyfikowany EUI-64 jako najmniej znaczące 64 bity adresu sieciowego emisji pojedynczej lub adresu łącza lokalnego, gdy używana jest automatyczna konfiguracja adresu bezstanowego). IPv6 używa zmodyfikowanego EUI-64 , zamiast tego traktuje MAC-48 jako EUI-48 (jako jest wybierany z tej samej puli adresów) i odwraca bit lokalny. Powoduje to rozszerzenie adresów MAC (takich jak adres MAC IEEE 802) do zmodyfikowanego EUI-64 przy użyciu tylko FF-FE (i nigdy FF-FF ) oraz z odwróconym bitem lokalnym.
Bezprzewodowe sieci osobiste Zigbee / 802.15.4 / 6LoWPAN
IEEE 11073-20601 (urządzenia medyczne zgodne z IEEE 11073-20601)

Użycie w hostach

W sieciach rozgłoszeniowych, takich jak Ethernet, oczekuje się, że adres MAC jednoznacznie identyfikuje każdy węzeł w tym segmencie i umożliwia oznaczanie ramek dla określonych hostów. W ten sposób tworzy podstawę większości warstwy łącza ( warstwa OSI 2 ), na której opierają się protokoły wyższych warstw, tworząc złożone, funkcjonujące sieci.

Wiele interfejsów sieciowych obsługuje zmianę adresu MAC. W większości Unix narzędzie poleceń ifconfig może być używane do usuwania i dodawania aliasów adresu łącza. Na przykład, aktywna dyrektywa ifconfig może być użyta w NetBSD do określenia, który z dołączonych adresów ma zostać aktywowany. W związku z tym różne skrypty konfiguracyjne i narzędzia umożliwiają randomizację adresu MAC w czasie uruchamiania lub przed nawiązaniem połączenia sieciowego.

Zmiana adresów MAC jest konieczna w wirtualizacji sieci . W fałszowaniu adresów MAC jest to praktykowane w celu wykorzystania luk w zabezpieczeniach systemu komputerowego. Niektóre nowoczesne systemy operacyjne, takie jak Apple iOS i Android, zwłaszcza w urządzeniach mobilnych, mają na celu losowe przypisywanie adresu MAC do interfejsu sieciowego podczas wyszukiwania bezprzewodowych punktów dostępowych w celu uniknięcia systemów śledzenia.

W sieciach protokołu internetowego (IP) adres MAC interfejsu odpowiadającego adresowi IP może być odpytywany za pomocą protokołu ARP ( Address Resolution Protocol ) dla IPv4 i Neighbor Discovery Protocol (NDP) dla IPv6, odnoszących adresy warstwy 3 OSI z warstwą 2 adresy.

Śledzenie

Randomizacja

Według Edwarda Snowdena Agencja Bezpieczeństwa Narodowego USA ma system, który śledzi ruch urządzeń mobilnych w mieście poprzez monitorowanie adresów MAC. Aby uniknąć tej praktyki, firma Apple zaczęła używać losowych adresów MAC w systemie iOS urządzeń podczas wyszukiwania sieci. Szybko poszli inni sprzedawcy. Randomizacja adresów MAC podczas skanowania została dodana w Androidzie począwszy od wersji 6.0, Windows 10 i jądra Linux 3.18. Rzeczywiste implementacje techniki randomizacji adresów MAC różnią się znacznie w różnych urządzeniach. Co więcej, różne wady i niedociągnięcia w tych implementacjach mogą pozwolić atakującemu na śledzenie urządzenia, nawet jeśli jego adres MAC zostanie zmieniony, na przykład sonda żąda innych elementów lub ich synchronizacji. Jeśli losowe adresy MAC nie są używane, naukowcy potwierdzili, że możliwe jest powiązanie prawdziwej tożsamości z określonym bezprzewodowym adresem MAC.

Losowe adresy MAC mogą być identyfikowane przez bit „administrowany lokalnie” opisany powyżej.

Inne wycieki informacji

Korzystając z bezprzewodowych punktów dostępowych w trybie ukrywania identyfikatora SSID ( maskowanie sieci ), mobilne urządzenie bezprzewodowe może nie tylko ujawniać swój własny adres MAC podczas podróży, ale nawet adresy MAC powiązane z identyfikatorami SSID, z którymi urządzenie już się łączyło, jeśli są skonfigurowane do wysyłania te jako część pakietów żądania sondy. Alternatywne tryby, aby temu zapobiec, obejmują konfigurowanie punktów dostępowych w trybie nadawania sygnału nawigacyjnego lub odpowiedzi sondy z trybem SSID. W tych trybach żądania sondy mogą być niepotrzebne lub wysyłane w trybie rozgłoszeniowym bez ujawniania tożsamości wcześniej znanych sieci.

Anonimizacja

Konwencje notacyjne

Standardowy ( IEEE 802 ) format drukowania adresów EUI-48 w formie przyjaznej dla człowieka to sześć grup po dwie cyfry szesnastkowe oddzielone myślnikami ( - ) w kolejności transmisji (np. 01-23-45-67-89-AB ). Ten formularz jest również powszechnie używany dla EUI-64 (np. 01-23-45-67-89-AB-CD-EF ). Inne konwencje obejmują sześć grup po dwie cyfry szesnastkowe oddzielone dwukropkami (:) (np. 01:23:45:67:89:AB ) oraz trzy grupy po cztery cyfry szesnastkowe oddzielone kropkami (.) (np. 0123.4567.89AB ); ponownie w kolejności transmisji.

Notacja odwrócona bitowo

Standardowa notacja, zwana także formatem kanonicznym, dla adresów MAC jest zapisywana w kolejności transmisji, przy czym najmniej znaczący bit każdego bajtu jest przesyłany jako pierwszy i jest używana na przykład w danych wyjściowych poleceń ifconfig , ip address i ipconfig .

Jednakże, ponieważ IEEE 802.3 (Ethernet) i IEEE 802.4 (Token Bus) wysyłają bajty (oktety) przewodem, od lewej do prawej, z najmniej znaczącym bitem w każdym bajcie jako pierwszym, podczas gdy IEEE 802.5 (Token Ring) i IEEE 802.6 (FDDI) wysyła bajty przewodem z najbardziej znaczącym bitem jako pierwszym, może pojawić się zamieszanie, gdy adres w tym drugim scenariuszu jest reprezentowany przez bity odwrócone od reprezentacji kanonicznej. Na przykład adres w postaci kanonicznej 12-34-56-78-9A-BC byłby przesyłany przewodowo jako bity 01001000 00101100 01101010 00011110 01011001 00111101 w standardowej kolejności transmisji (najpierw najmniej znaczący bit). Ale w przypadku sieci Token Ring byłby przesyłany jako bity 00010010 00110100 01010110 01111000 10011010 10111100 w kolejności najbardziej znaczących bitów. Ten ostatni może być nieprawidłowo wyświetlany jako 48-2C-6A-1E-59-3D . Nazywa się to odwróconą kolejnością bitów , formą niekanoniczną , formatem MSB , formatem IBM lub formatem Token Ring , jak wyjaśniono w dokumencie RFC 2469 .

Zobacz też

Protokół routera w stanie gorącej gotowości
Filtrowanie adresów MAC
Zarządzanie siecią
Sleep Proxy Service , która w pewnych okresach może fałszować adres MAC innego urządzenia
Przezroczyste mostkowanie
Protokół redundancji routera wirtualnego

Notatki

Linki zewnętrzne