Comment extraire le MAC source d'une entrée [BLOC UFW]?
J'ai l'entrée de bloc UFW suivante. Comment obtenir le MAC source? Je reçois une tonne du même MAC = e8: 11: 32: cb: d9: 42: 54: 04: a6: ba: 22: f8: 08: 00 faisant une analyse de port. Si cela importe, j'utilise 12.04 LTS.
Feb 4 17:46:06 ChromeBox-Server kernel: [663960.096168] [UFW BLOCK] IN=eth0 OUT= MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 SRC=123.129.216.39 DST=192.168.1.10 LEN=48 TOS=0x00 PREC=0x20 TTL=115 ID=49547 PROTO=TCP SPT=1535 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0
MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 peut être décomposé en
mAC de destination (dans ce cas, il s'agit de l'adresse MAC de votre carte, car il s'agit d'un paquet entrant):
e8:11:32:cb:d9:42mAC source:
54:04:a6:ba:22:f8EtherType :
08:00
Donc, si vous souhaitez extraire par programme le MAC source, vous pouvez faire quelque chose comme ceci:
cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12
Il semble que vos paramètres réseau utilisent IPv6, comme MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00 est une adresse IPv6, probablement celle de votre connexion réseau actuelle. Une véritable adresse MAC (Media Access Control) ne serait constituée que de six groupes de chiffres hexadécimaux: aa:bb:11:12:34:56.
Le caissier est le DPT=22. Ils essaient de trouver des ports SSH ouverts. C'est très bien si vous n'avez pas le port 22 ouvert (ce que je ne recommande généralement pas). Si vous avez/avez besoin du port 22 ouvert, j'espère que votre combo nom d'utilisateur/mot de passe est robuste. Vous pouvez également vouloir vérifier quelque chose comme Fail2Ban qui imposera des blocages temporaires après un certain nombre de tentatives de connexion infructueuses, y compris les connexions SSH.
Si vous obtenez constamment une analyse de port par la même IP - SRC=123.129.216.39 - configurez une règle DENY ou DROP dans UFW pour cette IP. Sudo ufw deny from 123.129.216.39