![如何從 [UFW BLOCK] 條目中提取來源 MAC?](https://rvso.com/image/848681/%E5%A6%82%E4%BD%95%E5%BE%9E%20%5BUFW%20BLOCK%5D%20%E6%A2%9D%E7%9B%AE%E4%B8%AD%E6%8F%90%E5%8F%96%E4%BE%86%E6%BA%90%20MAC%EF%BC%9F.png)
我有以下 UFW 區塊條目。如何取得來源MAC?我從相同的 MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 進行連接埠掃描時得到了大量資訊。如果重要的話,我正在使用 12.04 LTS。
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
答案1
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00可以分解為
目標 MAC(在本例中,這是您的卡的 MAC 位址,因為它是傳入封包):
e8:11:32:cb:d9:42源MAC:
54:04:a6:ba:22:f8以太類型:
08:00
因此,如果您想以程式設計方式提取來源 MAC,您可以執行以下操作:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
答案2
您的網路設定可能正在使用 IPv6,MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00IPv6 位址也可能是您目前網路連線的位址。真正的 MAC(媒體存取控制)位址只有六組十六進位數字:aa:bb:11:12:34:56。
這裡的出納員是DPT=22.他們正在嘗試尋找開放的 SSH 端口。如果您沒有打開連接埠 22(我通常不建議這樣做),這很好。如果您確實/需要打開連接埠 22,我希望您的使用者名稱/密碼組合足夠強大。您可能還想查看類似的內容失敗2Ban這將在多次登入嘗試失敗(包括 SSH 登入)後實施臨時封鎖。
如果您經常受到相同 IP 的連接埠掃描 - -在 UFW 中為該 IPSRC=123.129.216.39設定DENY或規則。DROPsudo ufw deny from 123.129.216.39