Чи бачать веб-сайти мою MAC-адресу?

Ні — веб-сайти бачать лише вашу публічну IP-адресу, відбиток пальця браузера та інші сигнали прикладного рівня. MAC-адреса існує лише в локальній мережі та ніколи не перетинає маршрутизатор. Ваш провайдер бачить MAC-адреси пристрою, підключеного безпосередньо до їхнього обладнання (вашого модему/маршрутизатора), але не бачить MAC-адреси ваших окремих комп’ютерів.

Чи слід увімкнути рандомізацію MAC?

Так, у більшості випадків — переваги конфіденційності з невеликими експлуатаційними витратами. Виняток становлять мережі, які використовують автентифікацію на основі MAC (деякі корпоративні мережі, деякі портали гостей готелю), де рандомізація може порушити доступ. Більшість реалізацій ОС розумно ставляться до цього та пропонують перемикання для кожної мережі.

Чи може MAC-адреса ідентифікувати мене однозначно?

Він може ідентифікувати пристрій. Кілька пристроїв, що належать одній особі, можна з’єднати разом, якщо їхні MAC-адреси видно в одній мережі. З рандомізацією на рівні ОС зв’язок складніший — кожна мережа бачить різний MAC для кожного пристрою.

Яка різниця між EUI-48 і EUI-64?

Обидва є формами ідентифікатора мережі. EUI-48 — стандартний 48-розрядний MAC. EUI-64 — це 64-розрядна версія, яка використовується для отримання ідентифікаторів інтерфейсу IPv6 з MAC-адрес. Сучасний IPv6 із розширеннями конфіденційності більше не використовує EUI-64 (він генерує випадкові ідентифікатори інтерфейсу).

Чи можу я мати два пристрої з однаковим MAC?

Глобально керовані MAC-адреси мають бути унікальними, але підроблені мережеві карти та навмисна підробка створюють дублікати. Два пристрої з однаковим MAC-адресою в одній мережі будуть конфліктувати; у різних мережах вони невидимі один для одного, і дублювання не має жодного ефекту.

Пояснення MAC-адрес: 48-бітний ідентифікатор, який має кожен мережевий пристрій

MAC-адреса — це апаратний ідентифікатор, вбудований у кожен мережевий інтерфейс — Ethernet, Wi-Fi, Bluetooth. Це номер, за допомогою якого пристрої спілкуються один з одним у локальній мережі, основа багатьох схем відстеження, і те, що ваш телефон тепер рандомізує, коли підключається до Wi-Fi. Розуміння того, що він робить, багато чого пояснює про те, як мережі насправді функціонують на рівні IP.

Повний текст статті подано англійською мовою нижче.

A Адреса MAC (адреса керування доступом до середовища) — це 48-бітний ідентифікатор, призначений контролеру мережевого інтерфейсу, який використовується для зв’язку в сегменті локальної мережі. На відміну від IP-адрес, які можуть змінюватися під час переходу між мережами, MAC-адреси традиційно прив’язані до апаратного забезпечення. Кожна карта Ethernet, кожна радіостанція Wi-Fi, кожна мікросхема Bluetooth має принаймні один.

Формат

A MAC-адреса становить 48 біт — 6 байтів — зазвичай записується як шість шістнадцяткових пар, розділених двокрапками або тире:

00:1A:2B:3C:4D:5E
00-1A-2B-3C-4D-5E

Перші три байти — OUI (унікальний організаційний ідентифікатор), призначений виробникам IEEE. Перегляд OUI повідомляє вам, хто створив мережеву карту: 00:1A:2B може бути «Cisco Systems», 04:FE:31 може бути Apple. Останні три байти призначає виробник і зазвичай є унікальними в межах свого OUI.

Два спеціальні біти в першому байте:

Multicast bit — якщо встановлено, адреса є груповою адресою (один до багатьох), а не одноадресною адресою (один-до-одного).
Local bit — якщо встановлено, адреса локально адмініструється (вибирається ОС), а не глобально унікальна. Рандомізовані MAC-адреси встановлюють цей біт.

Що роблять MAC-адреси

На рівні 2 мережевого стеку — канальному рівні — кожен кадр Ethernet або Wi-Fi містить MAC джерела та призначення. Коли ваш ноутбук надсилає IP-пакет на сервер в Інтернеті, адресатом рівня 2 є MAC вашого маршрутизатора, а не сервера. MAC-адреса має сферу дії лише для безпосереднього локального сегмента; як тільки пакет перетинає маршрутизатор, адресація рівня 2 змінюється.

Протокол, який зіставляє IP-адреси з MAC-адресами в локальній мережі, — це ARP (протокол розпізнавання адрес) для IPv4 і Neighbor Discovery для IPv6. «У кого IP 192.168.1.1?» Трансляція по локальній мережі; пристрій із цим IP відповідає своїм MAC. Автор запиту кешує відповідь на кілька хвилин.

MAC-адреси як занепокоєння конфіденційності

Історично кожен пристрій видавав свою справжню MAC-адресу кожного разу, коли він приєднувався до мережі Wi-Fi або сканував доступні мережі. Торгові центри, аналітичні фірми роздрібної торгівлі та недобросовісні мережі Wi-Fi реєстрували ці MAC-адреси, щоб відстежувати пішохідний рух, час перебування та повторні відвідування в багатьох місцях. MAC — це постійний ідентифікатор, який набагато важче очистити, ніж файл cookie.

Відповідь промисловості була MAC-рандомізація адрес :

iOS 14 (2020) запровадив рандомізовані для кожної мережі MAC-адреси — ваш iPhone використовує різні MAC-адреси на кожному Мережа Wi-Fi з тим самим рандомізованим MAC-адресом, який повторно використовується для тієї самої мережі.
Android 10 (2019) додав аналогічну рандомізацію для кожного SSID.
Windows 10/11 підтримує випадковий вибір для кожної мережі параметри.
macOS Sonoma (2023) додає рандомізацію для кожної мережі.

У рандомізованих MAC-адресах встановлено локально адміністрований біт, тому їх можна розпізнати як рандомізовані. Деякі мережі (особливо корпоративні, що використовують автентифікацію на основі MAC-адрес) відмовляються дозволяти з’єднання з рандомізованих MAC-адрес.

Підміна MAC-адреси

Ви можете змінити свою MAC-адресу практично в будь-якій ОС. У Linux: посилання ip встановлює адресу dev eth0 aa:bb:cc:dd:ee:ff. У macOS: sudo ifconfig en0 ether aa:bb:cc:dd:ee:ff. У Windows: через налаштування драйвера адаптера. ОС байдуже; апаратне забезпечення все ще працює.

Спуфінг використовується для законних цілей (конфіденційність, обхід квот на MAC-адреси в готелях, заміна несправного маршрутизатора, який автентифікувався за MAC-адресою) і нелегітимних (доступ до мережі без авторизації, атаки на системи, які довіряють MAC-адресам).

MAC-адреса та IP-адреса

	MAC	IP
Layer	2 (посилання даних)	3 (мережа)
Size	48 біт	32 (v4) / 128 (v6)
Scope	Локальний segment	Global
Призначено	Виробником (або ОС для рандомізованих)	DHCP / SLAAC / статична конфігурація
Зміни коли	Зміна апаратного забезпечення або рандомізація ОС	Зміни мережі
Відображається для	Лише локальна мережа	Кожен стрибок пакета перетинає

MAC і DHCP

Сервер DHCP вашого маршрутизатора призначає IP-адреси пристроям з ключем MAC. Функції «резервування» в конфігураціях маршрутизатора по суті полягають у «наданні цьому MAC-адресі однакову IP-адресу кожного разу». Ось що робить «Резервування MAC» звичайною функцією домашнього маршрутизатора. За допомогою рандомізації MAC-адрес на рівні ОС той самий фізичний пристрій виглядає як кілька MAC-адрес для маршрутизатора, порушуючи деякі схеми резервування — саме тому сучасні маршрутизатори почали підтримувати резервування «довільного MAC-адресу».

MAC-фільтрування: не безпека

Деякі маршрутизатори пропонують «MAC-фільтрування» як функцію безпеки Wi-Fi. Не покладайтеся на це. MAC-адреси надсилаються у відкритому вигляді в кожному кадрі; зловмисник може спостерігати за кількома пакетами, зчитувати дозволений MAC, підробити його та підключитися. Фільтрація MAC-адрес – це оперативна організація, а не безпека. Справжня безпека Wi-Fi забезпечується WPA2/WPA3 із надійною парольною фразою — перегляньте нашу статтю про безпеку Wi-Fi .

Часті запитання

Чи бачать веб-сайти мою MAC-адресу?: Ні — веб-сайти бачать лише вашу публічну IP-адресу, відбиток пальця браузера та інші сигнали прикладного рівня. MAC-адреса існує лише в локальній мережі та ніколи не перетинає маршрутизатор. Ваш провайдер бачить MAC-адреси пристрою, підключеного безпосередньо до їхнього обладнання (вашого модему/маршрутизатора), але не бачить MAC-адреси ваших окремих комп’ютерів.
Чи слід увімкнути рандомізацію MAC?: Так, у більшості випадків — переваги конфіденційності з невеликими експлуатаційними витратами. Виняток становлять мережі, які використовують автентифікацію на основі MAC (деякі корпоративні мережі, деякі портали гостей готелю), де рандомізація може порушити доступ. Більшість реалізацій ОС розумно ставляться до цього та пропонують перемикання для кожної мережі.
Чи може MAC-адреса ідентифікувати мене однозначно?: Він може ідентифікувати пристрій. Кілька пристроїв, що належать одній особі, можна з’єднати разом, якщо їхні MAC-адреси видно в одній мережі. З рандомізацією на рівні ОС зв’язок складніший — кожна мережа бачить різний MAC для кожного пристрою.
Яка різниця між EUI-48 і EUI-64?: Обидва є формами ідентифікатора мережі. EUI-48 — стандартний 48-розрядний MAC. EUI-64 — це 64-розрядна версія, яка використовується для отримання ідентифікаторів інтерфейсу IPv6 з MAC-адрес. Сучасний IPv6 із розширеннями конфіденційності більше не використовує EUI-64 (він генерує випадкові ідентифікатори інтерфейсу).
Чи можу я мати два пристрої з однаковим MAC?: Глобально керовані MAC-адреси мають бути унікальними, але підроблені мережеві карти та навмисна підробка створюють дублікати. Два пристрої з однаковим MAC-адресою в одній мережі будуть конфліктувати; у різних мережах вони невидимі один для одного, і дублювання не має жодного ефекту.