«MAC-адрес, это не просто набор цифр и букв на наклейке роутера. Это фундаментальный идентификатор, который работает на втором уровне модели OSI, но его реальная жизнь в сети гораздо сложнее и интереснее, чем кажется. Многие думают, что по нему можно легко найти любое устройство, но на практике всё упирается в протоколы, приватность и то, как операционные системы научились обманывать саму сеть.»
Что такое MAC-адрес на самом деле
MAC-адрес (Media Access Control), это уникальный физический идентификатор сетевого интерфейса. Он «прошивается» производителем на этапе изготовления сетевой карты, Wi-Fi или Bluetooth-модуля. Формат адреса — 48 бит, что обычно представляется как 12 шестнадцатеричных символов, разделённых двоеточиями или дефисами, например, 00:1A:2B:3C:4D:5E.
Первые три октета (шесть символов), это OUI (Organizationally Unique Identifier), который указывает на производителя оборудования. По нему можно определить, что устройство, например, выпущено компанией, производящей сетевое оборудование. Оставшиеся три октета, это серийный номер, который производитель назначает уникальным для каждого своего устройства.
Ключевая функция MAC-адреса — организация доступа к общей среде передачи данных (например, к Ethernet-кабелю или радиоканалу Wi-Fi) на канальном уровне. Когда два устройства в одной локальной сети хотят общаться, они используют MAC-адреса, а не IP. Коммутатор (свитч) строит таблицу MAC-адресов, сопоставляя их с портами, и направляет кадры данных точно на нужное устройство.
Где и как используется MAC-адрес
В локальной сети (LAN) MAC-адрес, это основа коммутации. Без него коммутаторы не смогли бы эффективно направлять трафик. Когда устройство подключается к сети, оно «представляется», рассылая кадры со своим MAC-адресом. Свитч запоминает, с какого порта пришёл этот адрес, и в дальнейшем отправляет трафик для этого устройства только на этот порт.
Другой распространённый сценарий — фильтрация по MAC-адресам. Многие домашние и корпоративные маршрутизаторы и точки доступа позволяют создавать белые или чёрные списки MAC-адресов. Это один из базовых методов контроля доступа к сети, хотя его надёжность не абсолютна.
Протокол ARP (Address Resolution Protocol) служит мостом между канальным и сетевым уровнем. Он отвечает на вопрос: «Какой MAC-адрес у устройства с таким-то IP-адресом в моей подсети?» Устройство отправляет широковещательный ARP-запрос, и целевое устройство отвечает, сообщая свой MAC. Эта информация кэшируется в ARP-таблице на короткое время.
Можно ли по MAC-адресу отследить устройство в интернете?
Короткий ответ: нет, напрямую — нельзя. И вот почему.
MAC-адрес работает только в пределах одного сегмента локальной сети (broadcast domain). Как только пакет данных покидает вашу домашнюю или офисную сеть и проходит через маршрутизатор (шлюз), происходит ключевое преобразование. Маршрутизатор, работая на сетевом уровне (уровень 3), снимает заголовок канального уровня (где и находится MAC-адрес отправителя и получателя) и упаковывает полезные данные в новый кадр для следующего сегмента сети.
MAC-адрес вашего компьютера заменяется на MAC-адрес интерфейса маршрутизатора, обращённого к провайдеру. Таким образом, за пределами вашей локальной сети MAC-адрес вашего устройства больше нигде не фигурирует. Весь интернет-трафик маршрутизируется на основе IP-адресов, а не MAC.
Поэтому узнать местоположение или даже провайдера человека, просто имея его MAC-адрес, невозможно. Для этого нужен доступ к ARP-таблицам коммутаторов в его локальной сети, что предполагает физическое или логическое нахождение внутри этой сети.
А как же публичные Wi-Fi сети и Bluetooth?
Здесь ситуация иная и представляет больший интерес с точки зрения отслеживания.
Wi-Fi сети
Когда ваше устройство ищет доступные Wi-Fi сети, оно активно зондирует эфир, рассылая Probe Request frames. В этих кадрах может содержаться MAC-адрес вашего Wi-Fi адаптера. Точки доступа и специальные сканирующие устройства (например, системы аналитики в торговых центрах) могут фиксировать эти MAC-адреса.
Именно так работают некоторые системы сбора статистики посетителей: они отслеживают MAC-адреса устройств, чтобы понять трафик, время пребывания и даже возвращаемость клиентов. Это и есть форма отслеживания в физическом пространстве.
Bluetooth
Аналогично, при включённом Bluetooth устройство периодически рассылает сигналы для обнаружения. Его Bluetooth MAC-адрес (BD_ADDR) также может быть считан другими устройствами поблизости. Это используется в контексте контактного трекинга, например, в некоторых приложениях.
Важный нюанс: современные операционные системы (начиная с iOS 8, Android 6, Windows 10) внедрили механизм рандомизации MAC-адресов
Это технология приватности, при которой устройство генерирует и использует случайный MAC-адрес вместо реального при сканировании Wi-Fi сетей или подключении к ним. Например, при поиске сетей ваш телефон будет использовать один случайный адрес, а при подключении к конкретной точке доступа — может использовать другой (но статический для этой сети). Это сильно затрудняет долгосрочное отслеживание устройства по его радиоинтерфейсу. Понимание природы MAC-адреса открывает возможности для управления сетью и, увы, для злоупотреблений. Способность к спуфингу — главная причина, почему MAC-фильтрацию нельзя считать серьёзной защитой. Любой злоумышленник, перехвативший «разрешённый» MAC-адрес в эфире (что элементарно делается снифферами), может подменить свой адрес и получить доступ. Хотя MAC-адрес сам по себе не является персональными данными в прямом смысле, в контексте российских требований по информационной безопасности он приобретает значение. 152-ФЗ «О персональных данных» обязывает операторов обеспечивать безопасность обрабатываемых данных. Если MAC-адрес используется в системе для однозначной идентификации субъекта (например, в системе контроля доступа в здание, где регистрируется MAC-адрес сотруднического телефона), он может опосредованно относиться к персональным данным. Его защита от несанкционированного изменения (спуфинга) становится важной задачей. Требования ФСТЭК, особенно для защищаемых информационных систем (ГИС, КИИ), часто предписывают идентификацию и аутентификацию устройств и абонентов. Использование статической фильтрации по MAC-адресам не удовлетворяет этим требованиям из-за лёгкости подмены. Поэтому в сертифицированных СЗИ применяются более сложные механизмы: 802.1X с сертификатами, привязка сессии к нескольким параметрам (IP+MAC), использование аппаратных идентификаторов. с точки зрения регуляторики, MAC-адрес, это не инструмент безопасности, а один из многих параметров, который должен учитываться в комплексной системе управления доступом и мониторинга сетевой активности. Его уязвимость к спуфингу делает его непригодным для использования в качестве единственного или основного фактора аутентификации в ответственных системах. Чтобы расставить все точки, сведём возможности и ограничения в таблицу. MAC-адрес остаётся краеугольным камнем работы локальных сетей, но его роль часто переоценивают в контексте отслеживания и безопасности. Это идентификатор для «своих» в пределах дома, офиса или эфирного пространства, но не для «чужих» в глобальной паутине. Понимание этой границы — между канальным и сетевым уровнем, между локальным сегментом и интернетом — ключ к правильной работе с сетевыми технологиями и построению адекватных систем защиты информации.Практические аспекты: от фильтрации до спуфинга
MAC-адрес и регуляторика: почему это важно для ФСТЭК и 152-ФЗ
Итог: что можно, а что нельзя
Что можно?
Что нельзя?
Определить производителя сетевого интерфейса по OUI.
Определить точное местоположение устройства в глобальной сети (интернете).
Отследить перемещение устройства в пределах зоны действия одной Wi-Fi/Bluetooth сети (если рандомизация отключена).
Узнать IP-адрес или личность владельца устройства, имея только его MAC.
Организовать базовую фильтрацию доступа в локальной сети.
Надёжно защитить сеть, используя только MAC-фильтрацию.
Идентифицировать устройство внутри конкретной локальной сети (для коммутации, учёта).
Использовать MAC как основной фактор аутентификации для выполнения требований ФСТЭК.