![Wie extrahiere ich die Quell-MAC aus einem [UFW BLOCK]-Eintrag?](https://rvso.com/image/848681/Wie%20extrahiere%20ich%20die%20Quell-MAC%20aus%20einem%20%5BUFW%20BLOCK%5D-Eintrag%3F.png)
Ich habe den folgenden UFW-Blockeintrag. Wie bekomme ich die Quell-MAC? Ich bekomme eine Menge von derselben MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 beim Port-Scanning. Falls es wichtig ist, ich verwende 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Antwort1
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00kann aufgeteilt werden als
Ziel-MAC (in diesem Fall ist dies die MAC-Adresse Ihrer Karte, da es sich um ein eingehendes Paket handelt):
e8:11:32:cb:d9:42Quell-MAC:
54:04:a6:ba:22:f8EtherType:
08:00
Wenn Sie die Quell-MAC also programmgesteuert extrahieren möchten, können Sie Folgendes tun:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Antwort2
Es sieht so aus, als ob Ihre Netzwerkeinstellungen IPv6 verwenden, ebenso MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00wie eine IPv6-Adresse, wahrscheinlich die Ihrer aktuellen Netzwerkverbindung. Eine echte MAC-Adresse (Media Access Control) besteht nur aus sechs Gruppen von Hexadezimalziffern: aa:bb:11:12:34:56.
Der Erzähler in diesem Fall ist der DPT=22. Sie versuchen, offene SSH-Ports zu finden. Das ist in Ordnung, wenn Sie Port 22 nicht offen haben (was ich im Allgemeinen nicht empfehle). Wenn Sie Port 22 offen haben/müssen, hoffe ich, dass Ihre Kombination aus Benutzername und Passwort robust ist. Vielleicht möchten Sie auch etwas wie Folgendes ausprobieren:Fail2BanDadurch werden nach einer Reihe fehlgeschlagener Anmeldeversuche, einschließlich SSH-Anmeldungen, temporäre Sperren verhängt.
Wenn Ihr Port ständig von derselben IP gescannt wird, SRC=123.129.216.39richten Sie in UFW eine DENYRegel DROPfür diese IP ein.sudo ufw deny from 123.129.216.39