![¿Cómo extraigo la MAC de origen de una entrada [UFW BLOCK]?](https://rvso.com/image/848681/%C2%BFC%C3%B3mo%20extraigo%20la%20MAC%20de%20origen%20de%20una%20entrada%20%5BUFW%20BLOCK%5D%3F.png)
Tengo la siguiente entrada del bloque UFW. ¿Cómo obtengo la MAC de origen? Recibo una tonelada del mismo MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 haciendo escaneo de puertos. Si es importante, estoy usando 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Respuesta1
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00se puede dividir como
MAC de destino (en este caso esta es la dirección MAC de tu tarjeta, ya que es un paquete entrante):
e8:11:32:cb:d9:42MAC de origen:
54:04:a6:ba:22:f8Tipo de éter:
08:00
Entonces, si desea extraer mediante programación la MAC de origen, puede hacer algo como esto:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Respuesta2
Parece que su configuración de red puede estar usando IPv6, al igual MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00que una dirección IPv6, probablemente la de su conexión de red actual. Una verdadera dirección MAC (Control de acceso a medios) consistiría solo en seis grupos de dígitos hexadecimales: aa:bb:11:12:34:56.
El cajero en esto es el DPT=22. Están intentando encontrar puertos SSH abiertos. Esto está bien si no tienes el puerto 22 abierto (lo cual generalmente no recomiendo). Si tiene o necesita el puerto 22 abierto, espero que su combinación de nombre de usuario y contraseña sea sólida. Es posible que también desees consultar algo comoFail2Banlo que impondrá bloqueos temporales después de varios intentos fallidos de inicio de sesión, incluidos los inicios de sesión SSH.
Si la misma IP escanea constantemente el puerto, SRC=123.129.216.39configure una regla DENYo DROPen UFW para esa IP.sudo ufw deny from 123.129.216.39