什么是MAC地址?
媒体访问控制(MAC)地址是分配给每个网络接口卡(NIC)的唯一硬件标识符。它工作在OSI模型的第2层(数据链路层),用于本地网络通信。IP地址逻辑地标识设备且可以更改,而MAC地址通常由制造商固化在硬件中。
MAC地址结构
MAC地址长度为48位(6字节),以十六进制显示:
- 冒号分隔:
AA:BB:CC:DD:EE:FF - 短横分隔(Windows):
AA-BB-CC-DD-EE-FF - Cisco格式:
AABB.CCDD.EEFF
OUI(组织唯一标识符)
前3字节(24位)是OUI——由IEEE分配给每个制造商。通过查询OUI,可以识别网络硬件的制造商:
- Apple, Inc.
- VMware(表示虚拟化硬件)
- Raspberry Pi Foundation
- Intel Corporate
- Cisco Systems
设备标识符
后3字节由制造商分配,用于唯一标识每个设备。完整的48位地址为网络接口创建了全局唯一标识符。
MAC地址类型
单播 vs. 多播
- 单播(首字节LSB=0):标识单个网络接口
- 多播(首字节LSB=1):针对一组设备
- 广播(FF:FF:FF:FF:FF:FF):到达网段内所有设备
常见的多播地址包括IPv4和IPv6多播范围。
全局管理地址(UAA) vs. 本地管理地址(LAA)
- UAA(首字节第二位=0):制造商分配,全局唯一
- LAA(首字节第二位=1):本地分配,可能不是全局唯一
随机/伪造MAC地址
现代设备为保护隐私而随机化MAC地址(iOS 14+、Android 10+、Windows 10+)。这些本地管理地址可防止跨不同网络和位置的跟踪。
查找MAC地址
不同平台的方法:
- Windows:
ipconfig /all或getmac /v - macOS/Linux:
ifconfig或ip link show - 网络扫描:
arp -a显示ARP缓存,将IP映射到本地网络上的MAC
MAC地址安全考虑
ARP欺骗
攻击者可以发送伪造的ARP响应,将其MAC地址与另一设备的IP关联。这会导致中间人攻击和流量拦截。防御措施:在受管交换机上启用动态ARP检测(DAI)。
MAC泛洪
用伪造地址淹没交换机的MAC地址表,使其像集线器一样工作并广播所有流量。防御措施:端口安全限制每个端口的MAC地址数量。
MAC过滤
将MAC地址用作访问控制机制存在重大缺陷——MAC地址可以被轻易伪造,因此MAC过滤本身并不可靠。
使用MAC地址查询工具
我们的MAC地址查询工具提供:
- OUI识别 — 输入任意MAC地址以识别制造商
- 批量查询 — 同时处理多个MAC地址
- 格式检测 — 接受冒号、短横、点号或无分隔符
- 公司详情 — 完整的注册公司名称
- 设备分类 — 识别虚拟适配器、物联网设备、手机和PC
对于网络管理员调查网络中的未知设备、安全审计以识别未授权硬件以及网络库存文档非常有用。
MAC与IP地址对比总结
| 特性 | MAC地址 | IP地址 |
|---|---|---|
| 层 | 第2层(数据链路) | 第3层(网络) |
| 长度 | 48位 | 32位(IPv4)/ 128位(IPv6) |
| 分配 | 硬件(制造商) | 逻辑(手动或DHCP) |
| 范围 | 本地网段 | 全局(互联网) |
| 变更 | 通常永久(但可伪造) | 动态(DHCP)或静态 |
| 用途 | 本地帧传输 | 数据包路由 |
理解MAC地址与IP地址之间的关系是网络故障排查和安全分析的基础。