亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

Shell腳本防攻擊的方法與實(shí)例

  發(fā)布時(shí)間:2012-06-01 09:27:04   作者:佚名   我要評(píng)論
Shell腳本防攻擊平時(shí)最好別碰到啊.碰到的話按今天說(shuō)的方法做吧
不知道得罪了哪路神仙,收到nagios報(bào)警,發(fā)現(xiàn)有個(gè)網(wǎng)站有CC攻擊??礃幼?,量還不小,把服務(wù)器的負(fù)載都弄到40+了,雖然網(wǎng)站還能打開,但打開也是非常的緩慢。如果不是配置高點(diǎn),估計(jì)服務(wù)器早就掛掉了??磥?lái)又是不一個(gè)不眠之夜了。
迅速查看一下nginx的訪問(wèn)日志:
#tail -f access.log  
\
貌似全是像這樣的狀態(tài)。 
我先緊急手動(dòng)封了幾個(gè)訪問(wèn)量比較大的Ip。
#iptables -A INPUT -s 83.187.133.58 -j DROP
#iptables -A INPUT -s 80.171.24.172 -j DROP
......
緊急封 了幾個(gè)ip后,負(fù)載降了一些了,網(wǎng)站訪問(wèn)速度有所提升了,但是不一會(huì),又來(lái)了一批新的Ip, 受不了了,看來(lái)要出絕招了。寫了shell腳本,讓他逮著了,就封。發(fā)現(xiàn)他攻擊的狀態(tài)都相同,每一個(gè)攻擊ip后面都有HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我們就來(lái)搜這個(gè)字段。
#vim fengip.sh
 
#! /bin/bash
for i in `seq 1 32400`
do
sleep 1
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
if [ -z "$x" ];then
echo "kong" >>/dev/null
else
for ip in `echo $x`
do
real=`grep -l ^$ip$ all`
if [ $? -eq 1 ];then
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本寫好了。
如圖
\
我們來(lái)運(yùn)行一下,運(yùn)行幾分鐘后,如下圖所示
\
經(jīng)過(guò)半個(gè)小時(shí)的觀察,服務(wù)器負(fù)載也降到0.幾了,腳本也不斷在封一些CC攻擊的ip。 一直讓他運(yùn)行著,晚上應(yīng)該能睡個(gè)好覺了。
下來(lái)我們來(lái)對(duì)腳本進(jìn)行解釋一下。
#vim fengip.sh
 
#! /bin/bash
Touch all    #建立all文件,后面有用到
for i in `seq 1 32400` #循環(huán)32400次,預(yù)計(jì)到早上9點(diǎn)的時(shí)間
do
sleep 1
 
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的訪問(wèn)日志,取出包含'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序,去重復(fù)
if [ -z "$x" ];then
echo "kong" >>/dev/null #如果$x是空值的話,就不執(zhí)行操作,說(shuō)明500行內(nèi),沒有帶'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行 chabaoo.cn
else
for ip in `echo $x` #如果有的話,我們就遍歷這些ip
do
real=`grep -l ^$ip$ all` #查看all文件里有沒有這個(gè)ip,因?yàn)槊糠庖淮?,后面都?huì)把這個(gè)ip寫入all文件,如果all文件里面有這個(gè)ip的話,說(shuō)明防火墻已經(jīng)封過(guò)了。
if [ $? -eq 1 ];then #如果上面執(zhí)行不成功的話,也就是在all文件里沒找到,就用下面的防火墻語(yǔ)句把ip封掉,并把ip寫入all文件
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本很簡(jiǎn)單,大牛略過(guò)啊。。。

相關(guān)文章

最新評(píng)論