O que é MAC address

Estrutura e padrão IEEE

O padrão IEEE 802 define o MAC address (Media Access Control address) como um identificador de 48 bits organizado em dois blocos de 24 bits. O bloco superior é o OUI (Organizationally Unique Identifier), atribuído pelo IEEE ao fabricante mediante registro pago. O bloco inferior, chamado extension identifier ou NIC-specific, é de responsabilidade exclusiva do fabricante, que garante unicidade dentro do seu espaço de 2²⁴ endereços.

O padrão de 48 bits nasceu no consórcio DIX (Digital Equipment Corporation, Intel e Xerox) antes da adoção formal pelo IEEE. A Xerox operava um registro de fabricantes proprietário desde o final dos anos 1970. O IEEE assumiu o controle em 1990 com o que hoje se chama de MA-L (MAC Address Block Large), o OUI clássico de 24 bits. Hoje existem três tipos de blocos registráveis no IEEE.

Anatomia visual do MAC address

O endereço F4:5C:89:AB:CD:EF divide-se em dois campos estruturais distintos. Os três primeiros octetos (24 bits) formam o OUI e identificam o fabricante no registro público do IEEE. Os três últimos octetos (24 bits) formam o NIC-specific, um número de série atribuído pelo próprio fabricante.

A faixa colorida abaixo separa os 48 bits do MAC em dois blocos de 24: OUI em azul (registro IEEE do fabricante) e NIC-specific em verde (série atribuída pelo fabricante).

O bit 0 do primeiro octeto (bit menos significativo) é o bit I/G: quando vale 0, o endereço é unicast; quando vale 1, é multicast. O endereço de broadcast FF:FF:FF:FF:FF:FF tem todos os bits em 1, incluindo o I/G. O bit 1 do primeiro octeto é o U/L: 0 significa universal (atribuído pelo IEEE), 1 significa localmente administrado (gerado pelo software). Endereços com U/L=1 não têm OUI válido no registro do IEEE.

Formatos de notação

O mesmo endereço físico pode ser escrito de quatro formas dependendo do sistema operacional ou equipamento. Nenhum formato é "mais correto" que os outros: a diferença é puramente visual.

Para converter entre formatos, basta remover o separador e reescrever com o separador desejado. Um script de uma linha em Python resolve: ''.join(mac.split(':')).upper() remove os separadores; então reagrupe conforme o formato de destino. Ferramentas de auditoria frequentemente normalizam para minúsculas sem separador antes de comparar dois endereços.

OUI: o registro de fabricantes

O registro OUI do IEEE é público e consultável gratuitamente em regauth.ieee.org. Qualquer fabricante que queira endereços MAC oficialmente únicos precisa registrar um bloco pagando uma taxa ao IEEE. O IEEE não divulga os valores exatos, mas estimativas da comunidade de rede indicam algo entre US$ 730 e US$ 3.000 dependendo do tipo de bloco.

Os três primeiros octetos de qualquer MAC permitem identificar o fabricante da interface. Por exemplo: F4:5C:89 é da Apple; 00:50:56 pertence à VMware; B8:27:EB identifica o Raspberry Pi Foundation. A ferramenta MAC Address Lookup deste site consulta a base do IEEE em tempo real.

MACs com o bit U/L igual a 1 (endereços localmente administrados) não têm OUI registrado. Ferramentas de lookup retornam "Locally Administered" para esses endereços porque eles foram gerados localmente, sem passar pelo registro do IEEE. É exatamente o caso dos MACs randomizados por iOS e Android.

Os dois bits de controle

O primeiro octeto do MAC address carrega dois bits especiais que determinam o comportamento do endereço na camada 2. São os bits menos significativos desse primeiro octeto.

Quando iOS e Android geram um MAC randomizado para uma rede Wi-Fi, eles setam o bit U/L para 1, sinalizando ao switch e ao ponto de acesso que aquele endereço é localmente administrado. É uma distinção limpa no protocolo: redes que precisam identificar hardware real podem filtrar por esse bit, embora a maioria das implementações de NAC (Network Access Control) não faça essa distinção automaticamente.

Um exemplo concreto: o MAC 02:00:00:00:00:01 tem o segundo bit do primeiro octeto (02 em hexadecimal = 00000010 em binário) igual a 1, indicando endereço localmente administrado. O MAC 00:1A:2B:3C:4D:5E tem o primeiro octeto 00 = 00000000, portanto ambos os bits de controle são 0: unicast e universalmente administrado pelo IEEE.

ARP e o papel do MAC na LAN

Dentro de uma rede local, dispositivos se comunicam diretamente usando MAC addresses na camada 2 (enlace). O protocolo ARP (Address Resolution Protocol, RFC 826, 1982) faz a ponte entre o endereço IP (camada 3) e o MAC correspondente.

O fluxo é assim: quando o notebook em 192.168.1.10 quer se comunicar com a impressora em 192.168.1.50, ele verifica a tabela ARP local. Se não encontrar a entrada, envia um broadcast ARP ("Quem tem 192.168.1.50?"). A impressora responde com o próprio MAC e a entrada é armazenada no cache ARP por alguns minutos. A partir daí, os frames Ethernet vão direto para o MAC da impressora sem novo broadcast.

1. Host verifica o cache ARP local. Se encontrar o MAC para o IP de destino, usa-o diretamente e pula os passos seguintes.
2. ARP Request broadcast. Se não encontrar, envia um frame Ethernet para FF:FF:FF:FF:FF:FF perguntando "quem tem IP X?"
3. ARP Reply unicast. O dispositivo com IP X responde com um frame unicast informando seu MAC.
4. Cache ARP atualizado. Entrada armazenada por 1 a 20 minutos (varia por SO). Comunicação começa imediatamente.
5. Expiração e renovação. Após o TTL, o host faz novo broadcast se precisar se comunicar novamente. Alguns sistemas operacionais renovam antes da expiração em comunicações contínuas.

Switches gerenciam uma tabela de encaminhamento (MAC table, também chamada FDB, Forwarding Database) que mapeia cada MAC à porta física onde o dispositivo está conectado. Ao receber um frame para um MAC conhecido, o switch encaminha apenas para a porta correta. Para MACs desconhecidos, o frame é flooded em todas as portas do VLAN. Ataques de MAC flooding tentam saturar essa tabela para forçar o switch a tratar todos os frames como desconhecidos e transmiti-los em broadcast, expondo o tráfego à captura.

MAC address em IPv6

No IPv6, o ARP foi substituído pelo NDP (Neighbor Discovery Protocol, RFC 4861). O NDP usa mensagens ICMPv6 para descoberta de vizinhos. Uma função relevante do NDP é a autoconfiguração de endereço via SLAAC, onde o dispositivo gera o próprio endereço IPv6 combinando o prefixo anunciado pelo roteador com um identificador derivado do MAC address (formato EUI-64), ou gerado aleatoriamente via RFC 4941 (privacy extensions). Por isso a randomização de MAC também afeta a privacidade no IPv6.

MAC randomization: iOS e Android

A Apple foi a primeira grande plataforma a implementar MAC randomization em buscas Wi-Fi. O iOS 8 (2014) introduziu randomização apenas durante o scanning passivo de redes. O iOS 14 (2020) generalizou: dispositivos Apple passaram a usar um MAC randomizado por padrão em cada rede Wi-Fi conectada, rotacionando periodicamente o endereço na mesma rede para evitar rastreamento de longo prazo.

O Android 10 (2019) fez o mesmo, com MAC randomizado por padrão ao conectar em novas redes. O Android 12 adicionou rotação periódica do endereço mesmo dentro da mesma rede, quebrando sistemas de controle de acesso baseados em MAC whitelist em empresas e universidades que não adotaram 802.1X.

O impacto operacional não é trivial. Provedores de Internet das Coisas (IoT) e redes de campus que usavam filtros de MAC para autorizar acesso precisaram migrar para autenticação por credenciais (802.1X, captive portal com login) ou aceitar que o controle por MAC deixou de funcionar como antes.

Do lado da privacidade, o ganho é concreto: sensores de rastreamento em shoppings e aeroportos que monitoram probe requests de Wi-Fi para mapear fluxo de pessoas perderam precisão significativa com a randomização. O mesmo vale para captive portals que tentavam associar perfis de navegação a MACs físicos permanentes.

Estimativa baseada em dados de distribuição Android da Google Play Console (2026). Dispositivos iOS 14+ representam mais de 95% do parque Apple ativo.

MAC spoofing

MAC spoofing é a técnica de alterar o MAC address reportado pelo sistema operacional sem tocar no hardware. O MAC físico, gravado no chip, permanece intacto, mas o SO anuncia um endereço diferente na rede. Em Linux, o comando ip link set dev eth0 address XX:XX:XX:XX:XX:XX faz isso instantaneamente sem root no kernel, apenas com permissão de rede. No Windows, a opção aparece nas propriedades avançadas do adaptador de rede.

Usos legítimos incluem testes de infraestrutura, clonagem de MAC de dispositivos substituídos em redes que usam autenticação por endereço físico, e operação de VMs que precisam apresentar MACs distintos do host. Usos maliciosos envolvem bypass de filtros de whitelist e evasão de logs em redes que identificam dispositivos apenas pelo MAC.

Como ver e interpretar o MAC do seu dispositivo

Cada plataforma expõe o MAC de uma forma. O endereço exibido pode ser o MAC físico permanente ou o randomizado ativo, dependendo da versão do sistema operacional e das configurações de rede.

1. Windows. Abra o Prompt de Comando e digite ipconfig /all. Procure o adaptador de rede desejado e veja o campo "Physical Address". O formato usa hífens: 00-1A-2B-3C-4D-5E.
2. Linux. Execute ip link show. Cada interface aparece com a linha "link/ether XX:XX:XX:XX:XX:XX". Alternativamente, cat /sys/class/net/eth0/address retorna o MAC da interface eth0.
3. macOS. Execute ifconfig en0 no Terminal. A linha "ether" contém o MAC. Para Wi-Fi: ifconfig en1 ou verifique em Preferências do Sistema > Rede > Avançado > Hardware.
4. Android. Configurações > Sobre o telefone > Status > Endereço MAC do Wi-Fi. Em versões modernas, o endereço exibido pode ser o randomizado para a rede atual. Para ver o MAC físico, vá em Configurações de Wi-Fi da rede específica e desative a randomização.
5. iOS. Configurações > Geral > Sobre > Endereço Wi-Fi (MAC físico permanente). O MAC em uso para uma rede específica aparece em Configurações > Wi-Fi > (rede conectada) > Endereço Wi-Fi Privado.

MAC em redes avançadas: switches, VLANs e 802.1X

Em redes corporativas, o MAC address desempenha papéis além do simples encaminhamento de frames. Switches gerenciados mantêm tabelas de MACs por VLAN; soluções de controle de acesso usam o MAC como fator de autenticação; ferramentas de IPAM (IP Address Management) cruzam MACs com IPs para manter inventários de dispositivos.

Tabela de MACs nos switches (FDB)

Todo switch gerenciado mantém uma Forwarding Database (FDB) mapeando MACs para portas físicas. Essa tabela tem um tamanho máximo; switches de acesso de baixo custo suportam tipicamente 4.000 a 8.000 entradas, enquanto switches de núcleo chegam a centenas de milhares. Quando a tabela satura (ataque de MAC flooding), o switch opera em modo de aprendizado degradado, enviando frames para todas as portas como um hub.

802.1X e autenticação por MAC

O padrão IEEE 802.1X usa o MAC como identificador inicial (antes da autenticação completa por certificado ou credencial). Em redes 802.1X corporativas, o switch envia um EAP-Request ao dispositivo assim que detecta atividade na porta. O dispositivo responde com credenciais (certificado digital, usuário/senha) que são validadas por um servidor RADIUS. O MAC sozinho não autentica: serve apenas para identificar o endpoint na fase inicial.

DHCP Snooping e Dynamic ARP Inspection

Switches gerenciados oferecem DHCP Snooping para mapear qual IP foi atribuído a qual MAC em qual porta. Com esse banco de dados, o Dynamic ARP Inspection (DAI) valida cada ARP Reply recebido: se o MAC anunciado não bate com o IP na tabela DHCP Snooping, o frame é descartado. Isso bloqueia ataques de ARP poisoning que envenenam o cache ARP de hosts para interceptar tráfego (Man-in-the-Middle).

Perguntas frequentes sobre MAC address