Как мне извлечь MAC-адрес источника из [UFW BLOCK] запись?
У меня есть следующая запись о блоке UFW. Как мне получить исходный MAC-адрес? Я получаю тонну с того же MAC = e8: 11: 32: cb: d9: 42: 54: 04: a6: ba: 22: f8: 08: 00 при сканировании портов. Если это важно, я использую 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
2 ответа
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 можно разбить на
-
MAC-адрес получателя (в данном случае это MAC-адрес вашей карты, поскольку это входящий пакет):
e8:11:32:cb:d9:42 -
источник MAC:
54:04:a6:ba:22:f8 -
EtherType :
08:00
Итак, если вы хотите программно извлечь исходный MAC, вы можете сделать что-то вроде этого:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Похоже, что ваши сетевые настройки могут использовать IPv6, так как MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 - это адрес IPv6, вероятно, вашего текущего сетевого подключения. Истинный MAC-адрес (Media Access Control) будет состоять только из шести групп шестнадцатеричных цифр: aa:bb:11:12:34:56.
Теллер в этом является DPT=22. Они пытаются найти открытые порты SSH. Это хорошо, если у вас нет открытого порта 22 (который я обычно не рекомендую). Если у вас есть / нужен открытый порт 22, я надеюсь, что ваше имя пользователя и пароль надежны. Возможно, вы также захотите проверить что-то вроде Fail2Ban , которое будет налагать временные блоки после нескольких неудачных попыток входа в систему, включая SSH-входы.
Если вы постоянно сканируете порты по одному и тому же IP - SRC=123.129.216.39 - установите правило DENY или DROP в UFW для этого IP. sudo ufw deny from 123.129.216.39