Eu tenho um servidor virtual rodando o Ubuntu em um provedor de hospedagem.
No último couble do mês, experimentei um aumento drástico no tráfego de entrada. Tudo isso sendo pacotes UDP.
Olhando nos logs eu tenho dezenas de milhares de linhas no formulário:
[UFW BLOCK] IN=eth0 OUT= MAC=CULPRIT_MAC_ADDR? SRC=A_LOT_OF_IP_ADDR DST=MY_SERVER_IP
Antes do spam começar, eu estava usando no máximo 10 GB de tráfego por mês, agora ele aumentou para 200 GB por mês, com 99,99% sendo apenas tráfego de entrada.
Eu posso ver o endereço MAC dos registros do UFW no formulário:
xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
E eu sei que o endereço eth0 mac é o mesmo que os primeiros 12 números hexadecimais no endereço acima.
Existe alguma maneira de fazer uma pesquisa de ip com base no endereço mac completo do log do UFW?
Eu certamente gostaria de silenciar qualquer coisa que seja spam do meu servidor! Mesmo que não esteja nem perto do meu limite de tráfego. : -)
O "SRC = A_LOT_OF_IP_ADDR" é o IP que você está querendo. Endereços IP, mac também, podem mudar e ser falsificados, então a informação não faz muito por você e certamente não identifica nenhum indivíduo específico (s) responsável por suas aflições. O tráfego está sendo bloqueado pelo seu firewall. O único curso de ação que você pode ter é reclamar com o (s) provedor (es) de IP do IP de origem. Muitas vezes eles não farão muito.