如何从 [UFW BLOCK] 条目中提取源 MAC?

如何从 [UFW BLOCK] 条目中提取源 MAC?

我有以下 UFW Block 条目。如何获取源 MAC?我在进行端口扫描时从相同的 MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 获得大量信息。如果重要的话,我使用的是 12.04 LTS。

Feb  4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

答案1

MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00可以分解为

  • 目标 MAC(在本例中,这是您的卡的 MAC 地址,因为它是一个传入数据包):e8:11:32:cb:d9:42

  • 源 MAC:54:04:a6:ba:22:f8

  • 以太类型08:00

因此,如果您想以编程方式提取源 MAC,您可以执行以下操作:

cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12

答案2

您的网络设置似乎正在使用 IPv6,MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00IPv6 地址也可能是您当前网络连接的地址。真正的 MAC(媒体访问控制)地址只有六组十六进制数字:aa:bb:11:12:34:56

这里的出纳员是DPT=22。他们正在尝试查找开放的 SSH 端口。如果您没有打开端口 22(我通常不建议这样做),这很好。如果您确实有/需要打开端口 22,我希望您的用户名/密码组合是强大的。您可能还想查看类似失败禁止在多次登录尝试失败后将实施临时阻止,包括 SSH 登录。

如果您不断受到同一 IP 的端口扫描 - - 请在 UFW 中为该 IPSRC=123.129.216.39设置DENY或规则。DROPsudo ufw deny from 123.129.216.39

相关内容