Как мне извлечь исходный MAC из записи [UFW BLOCK]?
У меня есть следующая запись блока UFW. Как мне получить исходный MAC? Я получаю тонну от того же MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00, выполняющего сканирование портов. Если это имеет значение, я использую 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
2 ответа
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 можно разбить как
MAC-адрес получателя (в данном случае это MAC-адрес вашей карты, поскольку это входящий пакет):
e8:11:32:cb:d9:42исходный MAC:
54:04:a6:ba:22:f8EtherType:
08:00
Поэтому, если вы хотите программно извлечь исходный MAC, вы можете сделать что-то вроде этого:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Похоже, что ваши настройки сети могут использовать IPv6, как MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 это адрес IPv6, возможно, адрес вашего текущего сетевого подключения. Истинный MAC-адрес (Media Access Control) будет состоять только из шести групп шестнадцатеричных цифр: aa:bb:11:12:34:56,
Кассир в этом DPT=22, Они пытаются найти открытые порты SSH. Это хорошо, если у вас нет открытого порта 22 (который я обычно не рекомендую). Если у вас есть / нужен открытый порт 22, я надеюсь, что ваше имя пользователя и пароль надежны. Возможно, вы также захотите проверить что-то вроде Fail2Ban, которое будет налагать временные блоки после нескольких неудачных попыток входа в систему, в том числе входа SSH.
Если вы постоянно сканируете порт с одного и того же IP - SRC=123.129.216.39 - создать DENY или же DROP правило в UFW для этого IP. sudo ufw deny from 123.129.216.39