MAC-Adressen
Link-Schicht (1/2)
Was ist eine MAC-Adresse?
Eine MAC-Adresse (Media Access Control) ist die physische, hardwarenahe Adresse einer Netzwerkschnittstelle auf Schicht 2. Jede Netzwerkkarte bekommt vom Hersteller eine MAC-Adresse zugewiesen, die sie weltweit identifiziert. Während sich die IP-Adresse je nach Netz ändert, bleibt die MAC-Adresse normalerweise fest mit der Hardware verbunden. Im Ethernet-Frame stehen Quell- und Ziel-MAC ganz vorne.
Aufbau: 48 Bit in sechs Gruppen
Eine MAC-Adresse ist 48 Bit (6 Byte) lang und wird üblicherweise als sechs hexadezimale Paare geschrieben, getrennt durch Doppelpunkte oder Bindestriche:
AC:DE:48:00:11:22
⌊—————⌋ ⌊—————⌋
OUI Geräteteil
(Hersteller) (lfd. Nr.)
Die ersten 24 Bit bilden die OUI (Organizationally Unique Identifier) – eine Kennung, die der Hersteller von der IEEE zugeteilt bekommt. Die letzten 24 Bit vergibt der Hersteller selbst fortlaufend pro Gerät. So entsteht eine theoretisch eindeutige Adresse. Den Hersteller hinter einer OUI kannst du mit dem MAC-Tool nachschlagen.
Unicast, Multicast, Broadcast
Das niederwertigste Bit des ersten Bytes (das I/G-Bit) entscheidet, an wen ein Frame gerichtet ist:
| Typ | Empfänger | Erkennungsmerkmal |
|---|---|---|
| Unicast | genau ein Gerät | I/G-Bit = 0 |
| Multicast | eine Gruppe | I/G-Bit = 1 |
| Broadcast | alle im Netz | FF:FF:FF:FF:FF:FF |
Die Broadcast-Adresse FF:FF:FF:FF:FF:FF erreicht jeden Knoten im selben Segment – sie wird etwa von ARP genutzt.
Lokal vs. global verwaltet
Das zweitniederwertigste Bit des ersten Bytes ist das U/L-Bit. Ist es 0, handelt es sich um eine global eindeutige, vom Hersteller vergebene Adresse. Ist es 1, wurde die Adresse lokal gesetzt – etwa beim absichtlichen Ändern der MAC durch das Betriebssystem.
$ ip link show eth0 link/ether ac:de:48:00:11:22 brd ff:ff:ff:ff:ff:ff
Wie lang ist eine MAC-Adresse?
Sicherheitsbezug: MAC-Spoofing
Obwohl MAC-Adressen vom Hersteller stammen, sind sie nicht fälschungssicher. Mit Bordmitteln lässt sich die gesendete Quell-MAC frei ändern – das nennt man MAC-Spoofing. Angreifer nutzen das, um MAC-basierte Zugangsfilter zu umgehen oder sich als anderes Gerät auszugeben. Deshalb ist eine MAC-Filterung im WLAN kein echter Schutz: Sie hält nur Gelegenheitsnutzer ab. Umgekehrt ändern moderne Smartphones absichtlich ihre MAC (MAC Randomization), um Tracking durch wechselnde WLANs zu verhindern – ein Beispiel dafür, wie das U/L-Bit auf 1 gesetzt wird.