У меня есть виртуальный сервер под управлением Ubuntu у хостинг-провайдера.
В последний месяц месяца я испытал резкое увеличение входящего трафика. Все это UDP-пакеты.
Просматривая в журналах, у меня есть несколько десятков тысяч строк в форме:
[UFW BLOCK] IN=eth0 OUT= MAC=CULPRIT_MAC_ADDR? SRC=A_LOT_OF_IP_ADDR DST=MY_SERVER_IP
До того, как начался спам, я использовал не более 10 ГБ трафика в месяц, теперь он увеличился до 200 ГБ в месяц, причем 99,99% приходится только на входящий трафик.
Я могу видеть MAC-адрес журнала UFW в форме:
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
И я знаю, что mac-адрес eth0 такой же, как первые 12 шестнадцатеричных чисел в указанном выше адресе.
Есть ли способ сделать ip-поиск на основе полного mac-адреса из журнала UFW?
Я бы, конечно, хотел бы заставить замолчать все, что спамит мой сервер! Хотя я даже не близко к моей пробке. : -)
«SRC = A_LOT_OF_IP_ADDR» - это IP-адрес, который вы хотите. IP-адреса, в том числе mac, могут меняться и подделываться, поэтому информация мало что делает для вас и, конечно, не идентифицирует конкретных лиц, ответственных за ваши беды. Трафик блокируется вашим брандмауэром. Единственный способ действий, с которым вы можете столкнуться - это пожаловаться на провайдера ip исходного IP. Часто они не будут делать много.