O que e MAC address
O que e MAC address: identificador de 48 bits em hardware de rede, estrutura OUI IEEE, formatos Cisco/Microsoft/IEEE e MAC randomization no iOS e Android.
O MAC address de um dispositivo é o identificador de 48 bits gravado permanentemente no hardware da interface de rede pelo fabricante. Ele nunca sai da rede local: quando seu pacote chega ao roteador de borda do provedor, o cabeçalho Ethernet com o MAC é descartado e o roteamento passa a depender exclusivamente do endereço IP. A estrutura em seis octetos, regulada pelo IEEE desde os anos 1980, esconde bits de controle que determinam se o endereço é universal ou localmente administrado e é exatamente esses bits que os sistemas iOS e Android manipulam para randomizar a identidade do seu celular em redes Wi-Fi. A base de dados pública do IEEE (OUI Registry) permite identificar o fabricante pelos três primeiros octetos de qualquer endereço. Use o MAC Address Lookup deste site para consultar qualquer endereço agora.
Neste artigo
Estrutura e padrão IEEE
O padrão IEEE 802 define o MAC address (Media Access Control address) como um identificador de 48 bits organizado em dois blocos de 24 bits. O bloco superior é o OUI (Organizationally Unique Identifier), atribuído pelo IEEE ao fabricante mediante registro pago. O bloco inferior, chamado extension identifier ou NIC-specific, é de responsabilidade exclusiva do fabricante, que garante unicidade dentro do seu espaço de 224 endereços.
O padrão de 48 bits nasceu no consórcio DIX (Digital Equipment Corporation, Intel e Xerox) antes da adoção formal pelo IEEE. A Xerox operava um registro de fabricantes proprietário desde o final dos anos 1970. O IEEE assumiu o controle em 1990 com o que hoje se chama de MA-L (MAC Address Block Large), o OUI clássico de 24 bits. Hoje existem três tipos de blocos registráveis no IEEE.
| Tipo | Tamanho do bloco | Endereços disponíveis | Uso típico |
|---|---|---|---|
| MA-L (OUI clássico) | 24 bits | 16.777.216 | Fabricantes de grande volume (Intel, Qualcomm, Apple) |
| MA-M (OUI-28) | 28 bits | 1.048.576 | Fabricantes de volume médio |
| MA-S (OUI-36) | 36 bits | 4.096 | Fabricantes pequenos, projetos de IoT |
Formatos de notação
O mesmo endereço físico pode ser escrito de quatro formas dependendo do sistema operacional ou equipamento. Nenhum formato é "mais correto" que os outros: a diferença é puramente visual.
| Formato | Exemplo | Separador | Onde é comum |
|---|---|---|---|
| IEEE padrão | 00-1A-2B-3C-4D-5E |
Hífen, maiúsculas | Documentação técnica IEEE |
| Linux / BSD / macOS | 00:1a:2b:3c:4d:5e |
Dois-pontos, minúsculas | Saída de ip link, ifconfig |
| Windows | 00-1A-2B-3C-4D-5E |
Hífen, maiúsculas | Saída de ipconfig /all |
| Cisco IOS | 001a.2b3c.4d5e |
Ponto entre grupos de 2 octetos | Switches Catalyst, Nexus |
Para converter, basta remover o separador e reescrever com o separador desejado. Um script de uma linha em Python resolve: ''.join(mac.split(':')).upper() remove os separadores; então reagrupe conforme o formato de destino.
OUI: o registro de fabricantes
O registro OUI do IEEE é público e consultável gratuitamente em regauth.ieee.org. Qualquer fabricante que queira endereços MAC oficialmente únicos precisa registrar um bloco pagando uma taxa ao IEEE. O IEEE não divulga os valores exatos,, mas estimativas da comunidade de rede indicam algo entre US$ 730 e US$ 3.000 dependendo do tipo de bloco.
Os três primeiros octetos de qualquer MAC permitem identificar o fabricante da interface. Por exemplo: F4:5C:89 é da Apple; 00:50:56 pertence à VMware; B8:27:EB identifica o Raspberry Pi Foundation. A ferramenta MAC Address Lookup deste site consulta a base do IEEE em tempo real.
MACs com o bit U/L igual a 1 (endereços localmente administrados) não têm OUI registrado. Ferramentas de lookup retornam "Locally Administered" para esses endereços porque eles foram gerados localmente, sem passar pelo registro do IEEE. É exatamente o caso dos MACs randomizados por iOS e Android.
Os dois bits de controle
O primeiro octeto do MAC address carrega dois bits especiais que determinam o comportamento do endereço na camada 2. São os bits menos significativos desse primeiro octeto.
| Bit | Nome | Valor 0 | Valor 1 |
|---|---|---|---|
| Bit 0 (LSB) | I/G (Individual/Group) | Unicast (endereço de um único dispositivo) | Multicast (grupo de dispositivos) |
| Bit 1 | U/L (Universal/Local) | Universal (atribuído pelo IEEE via OUI) | Localmente administrado (gerado pelo SO) |
Quando iOS e Android geram um MAC randomizado para uma rede Wi-Fi, eles setam o bit U/L para 1, sinalizando ao switch e ao ponto de acesso que aquele endereço é localmente administrado. É uma distinção limpa no protocolo: redes que precisam identificar hardware real podem filtrar por esse bit, embora a maioria das implementações de NAC (Network Access Control) não faça essa distinção automaticamente.
ARP e o papel do MAC na LAN
Dentro de uma rede local, dispositivos se comunicam diretamente usando MAC addresses na camada 2 (enlace). O protocolo ARP (Address Resolution Protocol, RFC 826, 1982) faz a ponte entre o endereço IP (camada 3) e o MAC correspondente.
O fluxo é assim: quando o notebook em 192.168.1.10 quer se comunicar com a impressora em 192.168.1.50, ele verifica a tabela ARP local. Se não encontrar a entrada, envia um broadcast ARP ("Quem tem 192.168.1.50?"). A impressora responde com o próprio MAC e a entrada é armazenada no cache ARP por alguns minutos. A partir daí, os frames Ethernet vão direto para o MAC da impressora sem novo broadcast.
Switches gerenciam uma tabela de encaminhamento (MAC table, também chamada FDB, Forwarding Database) que mapeia cada MAC à porta física onde o dispositivo está conectado. Ao receber um frame para um MAC conhecido, o switch encaminha apenas para a porta correta. Para MACs desconhecidos, o frame é flooded em todas as portas do VLAN. Ataques de MAC flooding tentam saturar essa tabela para forçar o switch a tratar todos os frames como desconhecidos e transmiti-los em broadcast, expondo o tráfego à captura.
MAC address em IPv6
No IPv6, o ARP foi substituído pelo NDP (Neighbor Discovery Protocol, RFC 4861). O NDP usa mensagens ICMPv6 para descoberta de vizinhos. Uma função relevante do NDP é a autoconfiguração de endereço via SLAAC, onde o dispositivo gera o próprio endereço IPv6 combinando o prefixo anunciado pelo roteador com um identificador derivado do MAC address, ou gerado aleatoriamente via RFC 4941 (privacy extensions).
MAC randomization: iOS e Android
A Apple foi a primeira grande plataforma a implementar MAC randomization em buscas Wi-Fi. O iOS 8 (2014) introduziu randomização apenas durante o scanning passivo de redes. O iOS 14 (2020) generalizou: dispositivos Apple passaram a usar um MAC randomizado por padrão em cada rede Wi-Fi conectada, rotacionando periodicamente o endereço na mesma rede para evitar rastreamento de longo prazo.
O Android 10 (2019) fez o mesmo, com MAC randomizado por padrão ao conectar em novas redes. O Android 12 adicionou rotação periódica do endereço mesmo dentro da mesma rede, quebrando sistemas de controle de acesso baseados em MAC whitelist em empresas e universidades que não adotaram 802.1X.
| Plataforma | Versão | Ano | Escopo da randomização |
|---|---|---|---|
| Apple iOS | iOS 8 | 2014 | Apenas durante scanning passivo (probe requests) |
| Apple iOS | iOS 14 | 2020 | Por rede associada, rotação periódica |
| Android | Android 10 | 2019 | Por rede associada (padrão) |
| Android | Android 12 | 2021 | Rotação periódica na mesma rede |
| Windows 10/11 | Versão 1803+ | 2018 | Opcional, configurável por rede |
O impacto operacional não é trivial. Provedores de Internet das Coisas (IoT) e redes de campus que usavam filtros de MAC para autorizar acesso precisaram migrar para autenticação por credenciais (802.1X, captive portal com login) ou aceitar que o controle por MAC deixou de funcionar como antes.
Do lado da privacidade, o ganho é concreto: sensores de rastreamento em shoppings e aeroportos que monitoram probe requests de Wi-Fi para mapear fluxo de pessoas perderam precisão significativa com a randomização. O mesmo vale para captive portals que tentavam associar perfis de navegação a MACs físicos permanentes.
MAC spoofing
MAC spoofing é a técnica de alterar o MAC address reportado pelo sistema operacional sem tocar no hardware. O MAC físico, gravado no chip, permanece intacto, mas o SO anuncia um endereço diferente na rede. Em Linux, o comando ip link set dev eth0 address XX:XX:XX:XX:XX:XX faz isso instantaneamente sem root no kernel, apenas com permissão de rede. No Windows, a opção aparece nas propriedades avançadas do adaptador de rede.
Usos legítimos incluem testes de infraestrutura, clonagem de MAC de dispositivos substituídos em redes que usam autenticação por endereço físico, e operação de VMs que precisam apresentar MACs distintos do host. Usos maliciosos envolvem bypass de filtros de whitelist e evasão de logs em redes que identificam dispositivos apenas pelo MAC.
MAC address no contexto brasileiro
A Anatel não regula diretamente o espaço de endereços MAC. Esse é um padrão internacional sob responsabilidade do IEEE. Mas equipamentos de telecomunicações vendidos no Brasil precisam de homologação pela Anatel, e os chips de rede desses dispositivos já vêm com OUI registrado de fábrica. A consulta ao registro de homologação via número de série cruza internamente com o OUI do chipset, permitindo rastreabilidade de equipamentos em investigações.
Provedores brasileiros de acesso usam MACs para autenticar modems e roteadores em redes GPON e DOCSIS. Em contratos de fibra óptica, o ONU (Optical Network Unit) é identificado pelo MAC serial durante o provisionamento no sistema do provedor. Trocar o equipamento sem informar o MAC ao suporte técnico geralmente resulta em falha de autenticação e perda de conectividade.
Redes corporativas brasileiras gerenciadas por sistemas de controle de acesso (NAC, 802.1X) usam o MAC address como fator de autenticação complementar ao certificado de dispositivo. Universidades públicas e institutos federais vinculados ao MEC e à RNP adotam 802.1X com verificação de MAC em laboratórios de informática. Essa prática a randomização do Android 12 está gradualmente tornando obsoleta, forçando migração para certificados de dispositivo.
O NIC.br mantém documentação técnica sobre o impacto da randomização em redes brasileiras. As publicações técnicas estão disponíveis em nic.br/publicacoes.
Perguntas frequentes sobre MAC address
O que é MAC address?
MAC address (Media Access Control address) é um identificador de 48 bits gravado permanentemente no hardware da interface de rede pelo fabricante. Ele opera na camada 2 (enlace) do modelo OSI e distingue dispositivos dentro de uma mesma rede local. Os três primeiros octetos identificam o fabricante via registro OUI do IEEE; os três últimos são o número de série único dentro daquele fabricante. O MAC não trafega pela internet: ele é descartado no primeiro roteador de borda.
MAC address muda com o tempo?
O MAC físico gravado no chip é permanente. O que muda é o endereço anunciado pela interface na rede. iOS 14 e superior usa um MAC diferente para cada rede Wi-Fi conectada, rotacionando periodicamente. Android 10 e superior faz o mesmo por padrão. Esse recurso, chamado MAC randomization, protege a privacidade impedindo rastreamento por sensores de loja e captive portals. O MAC físico real pode ser consultado nas configurações avançadas do dispositivo, mas só aparece em conexão com redes específicas que permitem ver o endereço permanente.
Para que serve o OUI no MAC address?
Os primeiros 3 octetos (24 bits) formam o OUI (Organizationally Unique Identifier), registrado no IEEE pelo fabricante da interface de rede. Eles identificam quem fabricou o chip. Por exemplo, F4:5C:89 pertence à Apple; 00:50:56 identifica VMware; B8:27:EB é da Raspberry Pi Foundation. Ferramentas de MAC Lookup consultam a base pública do IEEE para retornar o nome do fabricante a partir de qualquer endereço. MACs randomizados (bit U/L=1) não têm OUI válido e retornam "Locally Administered".
MAC address pode ser falsificado?
Qualquer sistema operacional permite alterar o MAC reportado via software sem modificar o hardware. No Linux: ip link set dev eth0 address XX:XX:XX:XX:XX:XX. No Windows: propriedades avançadas do adaptador. Isso é chamado de MAC spoofing. Por isso, filtros de whitelist por MAC em roteadores Wi-Fi não oferecem segurança real. Um atacante que captura um MAC autorizado na rede consegue se passar pelo dispositivo em segundos. O uso legítimo inclui testes de rede, VMs e substituição de equipamentos em redes com autenticação por MAC.
Dois dispositivos podem ter o mesmo MAC address?
Teoricamente não: o IEEE garante unicidade global no espaço de 2 elevado a 48 combinações. Na prática, colisões ocorrem quando fabricantes menores reutilizam blocos OUI ou quando MACs são clonados por software. Em redes grandes, uma colisão de MAC causa comportamento imprevisível no switch: frames destinados a um dispositivo chegam ao outro e vice-versa, gerando falhas de conectividade intermitentes difíceis de diagnosticar.
Qual a diferença entre MAC address e endereço IP?
O MAC address opera na camada 2 (enlace) e identifica o hardware dentro de uma rede local. É permanente no chip e não muda com o provedor ou a localização. O endereço IP opera na camada 3 (rede), é atribuído dinamicamente pelo provedor ou pelo roteador, e muda conforme a rede conectada. O protocolo ARP faz a tradução entre os dois: quando um dispositivo quer se comunicar via IP, o ARP descobre qual MAC corresponde a esse IP na rede local. A internet usa IP para rotear pacotes; o MAC nunca sai do segmento local.
O que é o bit U/L no MAC address?
O bit U/L (Universal/Local) é o segundo bit menos significativo do primeiro octeto do MAC address. Quando vale 0, o endereço é universal: foi atribuído pelo IEEE via OUI e identifica hardware real de um fabricante registrado. Quando vale 1, o endereço é localmente administrado: foi gerado pelo sistema operacional, sem passar pelo IEEE. MACs randomizados por iOS e Android têm U/L=1, o que explica por que ferramentas de lookup retornam "Locally Administered" para esses endereços.
Por que o roteador da operadora precisa do MAC do meu modem?
Em redes GPON (fibra óptica), o ONU (equipamento do cliente) é autenticado pela operadora usando o MAC address como identificador durante o provisionamento. O sistema do provedor registra o MAC do equipamento durante a instalação e só libera conexão para aquele endereço específico. Ao trocar o modem ou ONU sem comunicar o novo MAC ao suporte técnico, o sistema não reconhece o equipamento e bloqueia a autenticação. Isso é diferente de filtro de MAC doméstico: a autenticação em GPON usa o MAC como parte de um protocolo de provisionamento mais robusto.
Entender o que é MAC address permite diagnosticar problemas de autenticação em redes Wi-Fi corporativas, interpretar logs de switch, configurar sistemas de controle de acesso e compreender por que a randomização em iOS e Android protege a privacidade sem afetar a navegação normal. O protocolo ARP (RFC 826) e o registro OUI do IEEE (IEEE Registration Authority) são as referências primárias para quem precisa aprofundar. Use o MAC Address Lookup para identificar qualquer fabricante e o Gerador de MAC address para criar endereços de teste.
Gerador de MAC
Leituras Relacionadas
- O que e IP — O que e IP: entenda o Internet Protocol, a diferenca entre IPv4 e IPv6, IP publico e privado, historia ARPANET e RFC 791. Explicacao completa com exemplos.
- Modem vs roteador — Modem vs roteador: diferenca entre Layer 1/2 e Layer 3, tipos de modem (DSL, cabo, fibra/ONT), como funciona no Brasil e quando usar roteador proprio.
- Como acessar roteador —