![Como extraio o MAC de origem de uma entrada [UFW BLOCK]?](https://rvso.com/image/848681/Como%20extraio%20o%20MAC%20de%20origem%20de%20uma%20entrada%20%5BUFW%20BLOCK%5D%3F.png)
Eu tenho a seguinte entrada do bloco UFW. Como obtenho o MAC de origem? Estou recebendo muito do mesmo MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 fazendo varredura de portas. Se for importante, estou usando o 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
Responder1
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00pode ser dividido como
MAC de destino (neste caso este é o endereço MAC da sua placa, pois é um pacote de entrada):
e8:11:32:cb:d9:42MAC de origem:
54:04:a6:ba:22:f8Tipo Éter:
08:00
Então, se você deseja extrair programaticamente o MAC de origem, você pode fazer algo assim:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Responder2
Parece que suas configurações de rede podem estar usando IPv6, assim MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00como um endereço IPv6, provavelmente o da sua conexão de rede atual. Um verdadeiro endereço MAC (Media Access Control) teria apenas seis grupos de dígitos hexadecimais: aa:bb:11:12:34:56.
O caixa nisso é o DPT=22. Eles estão tentando encontrar portas SSH abertas. Tudo bem se você não tiver a porta 22 aberta (o que geralmente não recomendo). Se você tem/precisa da porta 22 aberta, espero que sua combinação de nome de usuário/senha seja robusta. Você também pode querer verificar algo comoFail2Banque imporá bloqueios temporários após uma série de tentativas de login malsucedidas, incluindo logins SSH.
Se você está constantemente sendo verificado por portas pelo mesmo IP - SRC=123.129.216.39configure uma regra DENYou DROPno UFW para esse IP.sudo ufw deny from 123.129.216.39