![[UFW BLOCK] エントリからソース MAC を抽出するにはどうすればよいですか?](https://rvso.com/image/848681/%5BUFW%20BLOCK%5D%20%E3%82%A8%E3%83%B3%E3%83%88%E3%83%AA%E3%81%8B%E3%82%89%E3%82%BD%E3%83%BC%E3%82%B9%20MAC%20%E3%82%92%E6%8A%BD%E5%87%BA%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
次の UFW ブロック エントリがあります。ソース MAC を取得するにはどうすればよいでしょうか? ポート スキャンを実行すると、同じ MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 から大量の情報を取得できます。問題になるかどうかはわかりませんが、私は 12.04 LTS を使用しています。
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
答え1
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00次のように分解できる
宛先 MAC (この場合は着信パケットなので、カードの MAC アドレスになります):
e8:11:32:cb:d9:42送信元MAC:
54:04:a6:ba:22:f8イーサタイプ:
08:00
したがって、ソース MAC をプログラムで抽出したい場合は、次のようにします。
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
答え2
お使いのネットワーク設定では IPv6 が使用されているようです。IPv6MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00アドレスも、おそらく現在のネットワーク接続の IPv6 アドレスと同じです。実際の MAC (メディア アクセス コントロール) アドレスは、6 つの 16 進数字のグループのみですaa:bb:11:12:34:56。
ここでの窓口は ですDPT=22。開いている SSH ポートを見つけようとしています。ポート 22 が開いていない場合は問題ありません (通常はお勧めしません)。ポート 22 が開いている/必要な場合は、ユーザー名とパスワードの組み合わせが堅牢であることを願います。次のようなものもチェックしてみてください。フェイル2バンSSH ログインを含むログイン試行が一定回数失敗すると、一時的なブロックが適用されます。
同じ IP によって常にポートスキャンされている場合は、その IP に対して UFW でルールまたはルールSRC=123.129.216.39を設定します。DENYDROPsudo ufw deny from 123.129.216.39