Begriff
MAC Address (Media Access Control)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Jedes Netzwerkgerät (Laptop, Handy, WLAN-Lampe) hat eine weltweit einzigartige Seriennummer ab Werk.
Sie ist in den Chip eingebrannt.
Format: 00:1A:2B:3C:4D:5E (6 Hex-Zahlen).
Die IP-Adresse ändert sich (wenn du das WLAN wechselst).
Die MAC-Adresse bleibt immer gleich (wie dein Fingerabdruck).
Im lokalen Kabel/WLAN reden Geräte über MACs, nicht über IPs.
Merksatz: Eine eindeutige Hardware-Adresse eines Netzwerkadapters, die zur Kommunikation auf der Sicherungsschicht (Layer 2) des OSI-Modells dient.
Anzeigen: ipconfig /all (Windows) oder ip link (Linux).
Filterung:
Im WLAN-Router kannst du "MAC Filter" aktivieren: "Nur mein Handy (MAC X) darf ins WLAN."
(Sicherheits-Note: Nutzlos. Hacker können ihre MAC fälschen).
1. Struktur (OUI + NIC)
48 Bit lang.
- Erste 24 Bit (OUI): Hersteller-Code.
00:03:93gehört Apple.00:50:56gehört VMware. Man kann an der MAC sehen, welches Gerät es ist. - Letzte 24 Bit (NIC): Laufende Nummer des Geräts.
2. MAC Randomization (Privacy)
Wenn du durch die Stadt läufst, scannt dein Handy nach WLANs. Geschäfte tracken dich anhand deiner MAC ("Kunde X war heute 10min bei den Schuhen"). Moderne Handys (iOS 14+, Android 10+) nutzen zufällige MAC-Adressen (Private Wi-Fi Address). Sie generieren für jedes WLAN eine neue Fake-MAC. Das schützt die Privatsphäre, macht aber MAC-Filter zu Hause nervig.
3. Spoofing
Die MAC ist "eingebrannt", aber das Betriebssystem lädt sie in den RAM. Dort kann man sie ändern.
ifconfig eth0 hw ether 00:11:22:33:44:55.
Hacker nutzen das, um Hotel-WLAN-Sperren zu umgehen (Kopiere die MAC eines zahlenden Gastes) oder für Man-in-the-Middle Attacken.
1. ARP Cache Poisoning (Layer 2 Hijacking)
Im lokalen LAN ruft der PC über Broadcast, "Wer hat IP 192.168.1.1 (Router)? Schick mir deine MAC!". Das ist ARP (Address Resolution Protocol). Der Router antwortet mit seiner ehrlichen MAC. Das Problem: ARP hat keinerlei Kryptografie oder Authentifizierung. Ein Hacker im selben WLAN schickt dem Router gefälschte "ARP Reply" Pakete: "Hey Router, die IP von Opfer-PC-1 hat ab jetzt meine Hacker-MAC". Und dem Opfer-PC flüstert er: "Die IP des Routers hat meine Hacker-MAC". Beide Geräte speichern das in ihrem ARP Cache blindliks und senden künftig den gesamten LAN-Traffic umgeleitet an den Hacker-Laptop. Der Hacker agiert als passiver Man-in-the-Middle.
2. Das CAM-Table Overflow (Switch Flooding)
Ein Layer-2 Switch leitet Daten nicht wie ein Hub an alle Ports. Er liest den Ethernet-Frame, schaut in seine interne "CAM-Tabelle" und weiß: "Die Ziel-MAC ist an Port 5 eingesteckt. Sende es nur dorthin". Die CAM-Tabelle im Switch-RAM merkt sich ca. 8000 MACs. Hacker nutzen MAC Flooding: Ein Skript (Macof) bombardiert den Switch mit 10.000 gefälschten Quell-MACs pro Sekunde. Die CAM-Table explodiert. Wie reagiert ein Switch, dessen Hirn bei einer korrupten RAM-Overload-Tabelle ausfällt? Aus Sicherheitsgründen "fällt er offen" und schlägt in den Fallback-Mode "Hub". Er flutet nun heimlich jegliche Pakete pauschal an alle VLAN-Ports. BINGO: Der Hacker-Laptop snifft am End-Port die Passworteingabe des Firmen-Chefs. Enterprise-Switches kontern mit Port Security (Max 3 MACs pro Switchport-Leben).
3. LLA (Link-Local-Adresse) in IPv6
Viele harten IPv4 Protokolle verließen sich auf Broadcast und DHCP via MAC. Bei IPv6 (SLAAC) generiert der PC seine IP (oftmals) einfach radikal selbständig durch seine eingebrannte MAC.
Das Konzept EUI-64 splittet die eigene 48-Bit MAC in der Mitte auf, stopft das feste Füllwort FF:FE hinein und flippt das 7. Bit. So wird aus der Apple-MAC 00:1A:2B:3C:4D:5E direkt ein magischer Teil der IPv6-Adresse (z.B. fe80::021a:2bff:fe3c:4d5e). Der Netzwerkwissenschaftler erspart sich beim Startvorgang das Mieten beim zentralen DHCPv6, das Interface ist direkt nach dem Boot mit der lokalen, einmaligen Link-Local IP abhörbar. (Dieser Mechanismus wurde Privacy Extension zugunsten teils heute oft verschleiert).
Quick-Check
Geht MAC übers Internet?
Nein. Sobald ein Paket durch einen Router geht, wird die Source MAC durch die MAC des Routers ersetzt. Der Webserver sieht deine MAC nie. Er sieht nur deine IP.Broadcast MAC?
FF:FF:FF:FF:FF:FF. Ein Paket an diese Adresse hören alle Geräte im lokalen Netz. (Genutzt von ARP und DHCP bei Discover).Promiscuous Mode?
Normalerweise ignoriert deine Netzwerkkarte Pakete, die nicht an deine MAC adressiert sind. Im "Promiscuous Mode" (Wireshark) liest sie alles mit, was auf dem Kabel vorbeikommt.