Eu tenho a seguinte entrada do Bloco UFW. Como obtenho o MAC de origem? Estou recebendo uma tonelada do mesmo MAC = e8: 11: 32: cb: d9: 42: 54: 04: a6: ba: 22: f8: 08: 00 fazendo a varredura de porta. Se for importante, estou usando 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 pode ser dividido como
MAC de destino (nesse caso, esse é o endereço MAC do seu cartão, pois é um pacote de entrada): e8:11:32:cb:d9:42
MAC de origem: 54:04:a6:ba:22:f8
EtherType : 08:00
Então, se você quiser extrair programaticamente o MAC de origem, poderá fazer algo assim:
cat ufw.log | awk '{print }' | cut -d ':' -f7-12
Parece que suas configurações de rede podem estar usando o IPv6, já que MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 é um endereço IPv6, provavelmente o da sua conexão de rede atual. Um verdadeiro endereço MAC (Media Access Control) seria apenas seis grupos de dígitos hexadecimais: aa:bb:11:12:34:56 .
O caixa neste é o DPT=22 . Eles estão tentando encontrar portas SSH abertas. Isso é bom se você não tiver a porta 22 aberta (o que geralmente não recomendo). Se você precisar abrir a porta 22, espero que sua combinação de nome de usuário / senha seja robusta. Você também pode querer verificar algo como Fail2Ban que imporá blocos temporários após várias tentativas de login com falha , incluindo logins SSH.
Se você estiver constantemente recebendo a porta verificada pelo mesmo IP - SRC=123.129.216.39 - configure uma regra DENY ou DROP no UFW para esse IP. sudo ufw deny from 123.129.216.39