家园笔记

  2. 首页 >  游戏开发服务 >  shell脚本-DOS攻击防范(自动屏蔽攻击IP)

shell脚本-DOS攻击防范(自动屏蔽攻击IP)

作者:admin 更新时间:2024-04-07

shell脚本-DOS攻击防范(自动屏蔽攻击IP)

原理:

找出异常ip

通过获取服务器access.log日志信息,获取时间在每分钟之内每个ip访问的次数来判断此ip是否是DOS攻击。

grep $(date +%d/%b/%Y:%H:%M) 过滤得到没分钟之内的page被访问的信息

awk ‘{a[$1]++}END{for (i in a)print i,a[i]}’ 再通过awk命令过滤得到每分钟访问page的ip和次数

示例:

[root@localhost /]# grep $(date +%d/%b/%Y:%H:%M) /usr/local/nginx/logs/access.log | awk '{a[$1]++}END{for (i in a)print i,a[i]}'
192.168.70.1 2

再限制一下次数(例如60次)只取ip:

grep $(date +%d/%b/%Y:%H:%M) /usr/local/nginx/logs/access.log | awk '{a[$1]++}END{for (i in a)if(a[i] > 60)print i}'

屏蔽异常ip

先查看iptables中有没有对该ip的屏蔽,如果没有则执行屏蔽

if [ iptables -vnL | grep -c "$IP" -eq 0 ]; then
iptables -I -s $IP -j DROP

shell脚本

#!/bin/bash
DATE=$(date +%d/%b/%Y:%H:%M)
LOG_FILE=/usr/local/nginx/logs/access.log
ABNORMAL_IP=`tail -n5000 $LOG_FILE | grep $DATE |awk '{a[$1]++}END{for(i in a)if(a[i] > 60)print i}'`
for IP in $ABNORMAL_IP; do
        if [ `iptables -vnL | grep -c "$IP"` -eq 0 ]; then
                iptables -I -s $IP -j DROP
                echo "$(date + '%F_%T') $IP" >> /tmp/drop_ip.log
        fi
done

iptables命令补充说明

查看规则

iptables [参数]
  • -L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。
  • -n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。
  • -v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。

iptables命令语法

iptables [-t table] COMMAND [chain] MATCH -j ACTION

规则管理-COMMAND
-A, –append chain rule-specification: 追加新规则于指定链的尾部;
-I, –insert chain [rulenum] rule-specification : 插入新规则于指定链的指定位置,默认为首部;
-R, –replace chain rulenum rule-specification : 替换指定的规则为新的规则;
-D, –delete chain rulenum : 根据规则编号删除规则,用–line-numbers查看;匹配的条件或标准-MATCH

MATCH 匹配条件包括通用匹配条件扩展匹配条件

通用匹配条件
-s, –source address[/mask][,…] : 检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
-d, –destination address[/mask][,…] : 检查报文的目标IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
-p, –protocol protocol : 匹配报文中的协议,可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 “all”, 亦可以数字格式指明协议;
-i, –in-interface name : 限定报文仅能够从指定的接口流入;only for packets entering the INPUT, FORWARD and PREROUTING chains.
-o, –out-interface name : 限定报文仅能够从指定的接口流出;for packets entering the FORWARD, OUTPUT and POSTROUTING chains.

-j ACTION -—–操作动作,ACCEPT、DROP、REJECT

ACCEPT : 接受
DROP : 忽略
REJECT : 拒绝

iptables补充说明主要参考:

/you-xi-kai-fa-fu-wu/shelljiao-ben-dosgong-ji-fang-fan-zi-dong-ping-bi-gong-ji-ip-5642.html

攻击 防范 获取
Linux进程通信 | 共享内存
« 上一篇
《Flask Web 开发指南
下一篇 »

相关推荐