写了一个简单的防止IP攻击的脚本

hao32 · 发表于 2007-12-20 14:16:10

写了一个简单的防止IP攻击的脚本
由于工作需要我就自己写了一个简单的防止IP攻击的脚本,可以防止linux虚拟主机一些小方面的IP攻击

系统是基于RHEL的centos,包括3,4,5三个版本,当然自己也初学shell,中间肯定用了很多笨的办法,效果也不一定怎么样,请大家给点意见

注意:这个脚本是根据apache服务器的server-status和系统的dmesg分析结果进行防范的,所以非apache用户和没有开启server-status的朋友没法使用

可以在服务器的crontab里设定每一分钟运行一次脚本,
复制下面的脚本到autoblock.sh,
root用户下# chmod u+x autoblock.sh

#!/bin/bash
# author hao32

# basic setting
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# find server-status name
ss_name="/usr/local/autoblock"

if [ -e $ss_name/ss_name ];then
ss_n=`cat $ss_name/ss_name`
else
mkdir /usr/local/autoblock >/dev/null 2>&1
cat `locate httpd.conf|grep -E "httpd/conf/httpd.conf$|apache_ssl/conf/httpd.conf$"`\
|grep "n /server-status"|cut -d/ -f2|cut -d\> -f1 > $ss_name/ss_name
ss_n=`cat $ss_name/ss_name`
fi

# block setting
# 设定排除的IP地址
ip_exclude="192.168.1.*|60.195.249.*|222.76.212.*|218.241.156.*|58.215.87.*|218.107.216.110"
ip_amou=25
ss_url="http://127.0.0.1/$ss_n?notable"

ss_tmp="/tmp/server-status"
poss_ip="/tmp/poss_ip"
real_ip="/tmp/real_ip"

# block start...
if [ -e "$poss_ip" ];then
echo "" > $poss_ip
fi
if [ -e "$real_ip" ];then
echo "" > $real_ip
fi

# analyse demsg
dmesg |grep "short"|awk '{if($4!="From"){print $4} else {print $5}}'|awk -F: '{print $1}'|sort|uniq>>$poss_ip

wget -q -O "$ss_tmp" "$ss_url"

grep "<i>" $ss_tmp|grep -vE $ip_exclude|awk '{print $1}'|sed 's/<i>//g'|sort|uniq -c\
|awk '{if($1>'$ip_amou') print $2}'>>$poss_ip

#iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'>$rule_ip
rule_ip=`iptables -nvL|grep "DROP "|awk '{print $8}'|sort|uniq|sed 's/0\/24/*/g'|xargs|sed 's/\ /|/g'`
if [ -z $rule_ip ];then
for i in `cat $poss_ip`
do
/sbin/iptables -I INPUT -p all -s $i -j DROP
done
else
cat $poss_ip|grep -vE "$rule_ip" > $real_ip
for i in `cat $real_ip`
do
/sbin/iptables -I INPUT -p all -s $i -j DROP
done

fi

欢迎转载本文，请注明来自：http://www.linuxsense.org

BENDY · 发表于 2007-12-20 17:09:10

不错....有用!

domin · 发表于 2007-12-21 03:21:23

有个问题就是如果被cc攻击得厉害了, apache的连接肯定都用光了, 那样server-status也捉取不了, 这个脚本岂不是没用了?

cqfanli · 发表于 2007-12-28 23:51:17

对付这类攻击，实在是让人头痛哦~~

支持原创！

hao32 · 发表于 2008-1-3 20:44:11

原帖由 domin 于 2007-12-21 03:21 发表
有个问题就是如果被cc攻击得厉害了, apache的连接肯定都用光了, 那样server-status也捉取不了, 这个脚本岂不是没用了?

这个脚本一分钟运行一次,第一次运行就会把相关的信息提取到相应的文件下,因此连接来的时候就可以达到阻止的目的

恒心轩 · 发表于 2008-1-4 00:51:09

陆林在线小游戏小游戏,站内的游戏非常精彩, 小游戏,很多哦!比如! 动作小游戏,双人小游戏,单机小游戏,休闲小游戏,还有MM们还的MM小游戏,化妆小游戏都很好玩哦,还要男孩子们喜欢的,成人小游戏 !网站天天更新发表新的小游戏,深受广大玩家的喜欢.

[ 本帖最后由恒心轩于 2008-7-25 15:01 编辑 ]

xnsh · 发表于 2008-1-4 13:00:14

如果是zues呢？
能不能这个防护？

domin · 发表于 2008-1-4 17:15:53

建议加入netstat分析, 靠server-status是不行的, 一直有攻击的话apache的maxclient会一直占满而且很慢, 无法处理server-status的请求.

好三二 · 发表于 2008-1-21 16:08:55

当然是只能防止特定类型的攻击, 比如用一个adsl对你的服务器

段时间内不会叫服务器挂掉,但是很容易的,谁都可以的攻击

		自动登录	找回密码
密码			立即注册