浅谈MAC地址的作用及获取方法(稽查一处赵强强)【摘要】电子取证就是指对存储在计算机系统或网络设备中潜在的电子证据进行识别、收集、保护、检查、分以及法庭出示的过程,相关技术包括IP地址和MAC地址的获取和识别技术、身份认证技术、电子邮件的取证和鉴定技术等。本文主要说明MAC地址的作用及获取方法。随着技术的发展,我们在工作中需要获取MAC地址的设备种类愈发丰富,既有常见的台式电脑、笔记本电脑,又有最近几年流行的智能手机和平板电脑等。本文按照操作系统的不同,分别探讨了几种常规的MAC地址获取方法。【关键词】电子取证MAC地址获取操作系统智能手机一、概述MAC地址(Medium/MediaAccessControl,介质访问控制),或称为逻辑地址,用来定义网络设备的位置,由48比特长,12位的16进制数字组成,0到23位是厂商向IETF等机构申请用来标识厂商的代码,也称为“编制上唯一的标识符”(OrganizationallyUniqueIdentifier)。地址的24到47位由厂商自行分派,是各个厂商制造的所有网卡的一个唯一编号。在OSI模型中,第三层网络层负责IP地址,第二层数据链路层则负责MAC位址。MAC地址是保存在NetworkInterfaceCard(网卡,NIC)里的,通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的主机的地址,因此一个网卡会有一个全球唯一固定的MAC地址,但可对应多个IP地址,也就是说,在网络底层的物理传输过程中,是通过物理地址来识别主机的,它是全球唯一的。比如,主流的以太网卡,其物理地址是48bit(比特位)的整数,如:44-45-5A-C4-00-E0(一般以16进制的方式表示),以机器可读的方式存入主机接口中。以太网地址管理机构IEEE(电气和电子工程师协会)将以太网地址,也就是48比特的不同组合,分为若干独立的连续地址组,生产以太网网卡的厂家就购买其中一组,具体生产时,逐个将唯一地址赋予以太网卡。二、MAC地址的作用IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,职位既可以让甲坐,也可以让乙坐,同样的道理一个结点的IP地址对于网卡是不做要求,基本上任何网卡都可以用,也就是说IP地址与MAC地址并不存在着绑定关系。本身有的计算机流动性就比较强,正如同人才可以给不同的单位干活的道理一样的,人才的流动性是比较强的。职位和人才的对应关系就有点像是IP地址与MAC地址的对应关系。比如,如果一个网卡坏了,可以被更换,而无须取得一个新的IP地址。如果一个IP主机从一个网络移到另一个网络,可以给它一个新的IP地址,而无须换一个新的网卡。当然MAC地址除了仅仅只有这个功能还是不够的,就拿人类社会与网络进行类比,通过类比,我们就可以发现其中的类似之处,更好地理解MAC地址的作用。无论是局域网,还是广域网中的计算机之间的通信,最终都表现为将数据包从某种形式的链路上的初始结点出发,从一个结点传递到另一个结点,最终传送到目的结点。数据包在这些节点之间的移动都是由ARP(AddressResolutionProtocol:地址解析协议)负责将IP地址映射到MAC地址上来完成的。其实人类社会和网络也是类似的,试想在人际关系网络中,甲要捎个口信给丁,就会通过乙和丙中转一下,最后由丙转告给丁。在网络中,这个口信就好比是一个网络中的一个数据包。数据包在传送过程中会不断询问相邻节点的MAC地址,这个过程就好比是人类社会的口信传送过程。相信通过这两个例子,我们就可以进一步理解MAC地址的作用。形象的说,MAC地址就如同我们身份证上的身份证号码,具有全球唯一性。因此,如果获取了某个设备MAC地址,那么使用这个MAC地址的网卡也就可以确定了,进而可以确定使用这台设备的人员身份。所以,MAC地址的获取和确认是我们稽查办案中确认电子数据有效性的重要环节之一,对我们查处案件有重要作用。三、本机MAC地址的获取方法1、Windows2000/XP/Vista/7操作系统点击“开始”→“运行”,在“运行”界面下输入“cmd”点击“确定”出现命令提示符,在c:\下输入ipconfig/all命令,出现的PhysicalAddress就是MAC地址。也可输入getmac命令,按回车键,物理地址栏就是本机的所有网卡的MAC地址:对于接入无线网络的笔记本电脑,可双击屏幕右下方的无线网络标志,在弹出的无线网络连接窗口中选择“支持”选项卡,点击“详细信息”按钮,新窗口中有关网络连接详细信息中的第一行“实际地址”后面的一串字符即为你的笔记本无线网卡的MAC地址:2、Windows98操作系统点击“开始”→“运行”,在“运行”界面下输入“winipcfg”,点击“确定”,出现“IP配置”,在“Ethernet适配器信息”中一般默认的是“PPPAdapter”,点击下拉菜单,选择本机网卡的型号,就会出现网卡的MAC地址(即图中的适配器地址):3、linux/unix操作系统linux/unix操作系统主要应用于服务器和工作站,我们在日常工作中接触的较少。linux/unix操作系统的MAC地址获取方法于WINDOWS系列稍有不同:在命令行输入ifconfig并按回车键执行,如图所示,HWaddr字段后即是本机的MAC地址:4、ANDROID(安卓)操作系统的智能手机和平板电脑以安卓手机为例,进入设置界面,点击WLAN设置,再按手机“menu”键,屏幕下方出现小界面有“高级”,进入“高级”,里面可以看到MAC地址;或者设置界面下进入关于手机,然后选硬件信息(或状态信息),也可以看到MAC地址,这个方法同样适用于Android平台的平板电脑。5、苹果iphone和ipad进入设置界面,依次点击通用——关于本机,其中wifi地址就是手机的mac地址。四、结语