效率源数据恢复论坛

标题: 被盗笔记本被找回——全靠MAC地址的身份标识作用 [打印本页]

作者: xlysoft    时间: 2016-10-11 11:18
标题: 被盗笔记本被找回——全靠MAC地址的身份标识作用
【文章来源:效率源科技(微信号)】微信号:xiaolvyuantec


编者按:在“手机定位20-18期(上)、(中)”中,数据恢复四川省重点实验室学术委员会副主任、原某研究所信息安全技术高级工程师王宁老师详细介绍了IMEI码、MEID码、IMSI码(移动站的识别主要包括IMEI码、MEID码、IMSI码和MAC地址)。本期王宁老师将详细讲解移动站识别中的MAC地址。



新闻回放:细心男备份MAC地址 ,一年后追回被盗笔记本
       据荆州新闻网报道,2015年12月荆州市民万某报警称:自己一台价值6200余元的笔记本电脑2014年10月被人盗走。被盗之前,万某备份了该电脑的MAC地址;被盗后,万某根据电脑的MAC地址一直在进行追踪。

      2015年11月底,万某发现其被盗的电脑有人在使用,遂向当地派出所报警。民警经过信息追踪,发现万某被盗的电脑在斗湖堤荆江大道154号处登陆,民警及时赶往该地,将正在使用被盗电脑上网的嫌疑人袁某抓获,追回万某被盗的笔记本电脑。


专业解读:MAC地址是电脑、手机等终端设备的身份标识符
       丢失的笔记本电脑能够被找回,这是因为MAC地址是固定且唯一的,就如同我们身份证上的身份证号码,是电脑、手机等网络终端设备的身份标识符。


1、MAC地址的定义
       MAC(Medium/Media Access Control)地址,意译为媒体访问控制,或称为物理地址、硬件地址,用来定义网络设备的位置。在互联网中,每一个网络终端都有一个MAC地址,而每一个网络节点设备都有一个专属于它的IP地址。

       网卡的物理地址通常是由网卡生产厂家烧入网卡的EPROM(一种闪存芯片,通常可以通过程序擦写),它存储的是传输数据时真正赖以标识发出数据的电脑和接收数据的设备的地址。也就是说,在网络底层的物理传输过程中,是通过物理地址来识别网络设备的,MAC地址就如同我们身份证上的身份证号码,它一定是全球唯一的。移动互联网是传统互联网的扩展,同样遵从互联网的OSI模型结构,而智能手机除作为GSM通信网络终端外,也是移动互联网的终端设备,当然也同样具有一个唯一的MAC物理地址。

       在一个稳定的网络中,IP地址和MAC地址是成对出现的,每个网络位置会有一个专属于它的IP地址。一台计算机要和网络中另一外计算机通信,就要配置这两台计算机的IP地址。MAC地址是固定且唯一的,这样配置的IP地址就和MAC地址形成了一种对应关系。IP地址就如同一个职位,而MAC地址则好像是去应聘这个职位的人才,二者并不存在绑定关系。如果一个IP主机从一个网络移到另一个网络,可以给它一个新的IP地址,而无须换一个新的网卡。无论是局域网、广域网还是互联网,网络中终端设备之间的通信,最终都表现为将数据包从某种形式链路上的初始节点出发,经过一个节点传递到另一个节点,最终传送到目的节点。数据包在这些节点之间的移动都是由地址解析协议ARP(Address Resolution Protocol)负责将IP地址映射到MAC地址上来完成的。
【网络终端中的MAC地址】


2、MAC地址的结构
       MAC地址是用来表示互联网上每一个站点或设备的标识符,采用十六进制数表示,共六个字节(48位)。其中,前三个字节是由IEEE的注册管理机构RA给不同厂家分配的代码(高位24位),区分了不同的厂家,称为“编制上唯一的标识符”;后三个字节(低位24位)由各厂家自行指派给生产的适配器接口,称为扩展标识符(唯一的)。 同一个厂家生产的网卡中MAC地址的后24位是不同的。MAC地址实际上就是适配器地址,专业的称呼是:48位扩展唯一标识符(Extended Unique Identifier),是由IEEE协会定义的,简称为适配器标识符EUI-48。

      MAC地址在计算机网络系统中的表现个格式为:00-18-8B-DE-5F-97。


3、电脑上查看MAC地址的方法
      方法一:在Win7系统桌面上,点击“开始”——点击“运行”——输入“cmd”——在DOS命令行中输入“ipconfig/all”,就会显示出本机的MAC地址和IP地址配置。

     方法二:在Win7系统桌面上,右击“网络”—点击“属性”—点击“本地连接”—点击“详细信息”,在弹开的界面中就能看到MAC物理地址。如下图所示:


4、手机上查看MAC地址的方法
       打开“设置”或“设定”——在打开的界面中找到“关于设备”或“关于手机”并打开——在打开的界面中找到“状态”或“状态信息”并打开——打开的界面中就会显示多个参数,包括MAC地址、IP地址、IMEI码等。

       下面就是三星Galaxy S4手机分别连接移动网络和WiFi网络两种情况的设置状态截图:

         从中不难看出,红框内的IMEI码和MAC地址作为手机的身份标识一直是不变的,但随着手机在互联网中所连接的节点不同,IP地址是变化的。


5、 MAC地址、IMSI码、IMEI码在手机定位中的作用
MAC地址:固定的MAC地址与变化的IP地址相关联,形成手机移动轨迹。

       从前面我们已经了解到,移动互联网中数据的传送依靠将IP地址映射到MAC地址上来完成。MAC地址作为手机的身份标识符是固定不变的,但与其成对出现的IP地址却随着手机在互联网中所连接的节点不同而变化。在移动网络环境中(包括蜂窝通信网和移动互联网),手机从一个节点范围移动到另一个节点范围,经纬坐标已知的各个节点的IP地址不断与手机固定不变的MAC地址相关联,就形成了手机在地理坐标系中的移动轨迹。


IMSI码:基站通过广播IMSI码与手机取得联系。

       当手机开机的时候,会将手机和手机卡的一些信息上传给基站,其中包括IMSI码、IMEI码和MAC码,附近的几个基站根据信号的强弱可以判断手机所在位置。因为基站本身是带GPS模块的,所以就可以对手机进行定位。正常情况下基站通过广播IMSI码与手机取得联系,IMSI码就是基站对手机定位的身份标识。但实际上通过基站对手机进行定位并不只靠IMSI码,也依靠手机与基站之间的信号,也就是说如果这个手机什么都不干只是开机,就可以定位手机的位置。因为手机定时会和基站进行联系,联系信号中就包含手机的标识信息。


IMEI码:手机运营商可以通过IMEI码分辨用户设备,追踪用户地理位置。

       IMEI码是手机鉴别的主要依据,由它可以判断出该手机是原厂正品手机,还是水改机或翻新机,但它在手机识别和跟踪方面的作用也不可小觑。手机运营商通过IMEI码分辨用户设备,追踪用户地理位置,记录用户拨打电话、发送短信、上网等行为。当手机被盗的时候,如知道IMEI码,可以通过手机运营商进行手机锁定,即:获知手机被盗之后所用的电话号码,中止手机的通话功能,获知手机的方位。公安和安全部门可以根据特定人员手机的IMEI码,无论其更换了什么手机号,通过基站定位后,使用无线电测向车和单兵侧向设备定位,精度足够到具体哪个房间。


小结:本期文章详细介绍了MAC地址的概念、结构、作用,以及MAC地址、IMSI码、IMEI码三者在手机定位中的作用。关于移动站的识别就已通过上、中、下三期内容全部讲解完毕。







欢迎光临 效率源数据恢复论坛 (http://bbs.xlysoft.net/) Powered by Discuz! X3.2