qileilove

blog已经转移至github,大家请访问 http://qaseven.github.io/

Shell脚本防攻击一例

  不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。

  迅速查看一下nginx的访问日志

  #tail -f access.log

  貌似全是像这样的状态。

  我先紧急手动封了几个访问量比较大的Ip。

  1. #iptables -A INPUT -s 83.187.133.58 -j DROP 
  2. #iptables -A INPUT -s 80.171.24.172 -j DROP 
  3. ......

  紧急封了几个ip后,负载降了一些了,网站访问速度有所提升了,但是不一会,又来了一批新的Ip, 受不了了,看来要出绝招了。写了shell脚本,让他逮着了,就封。发现他攻击的状态都相同,每一个攻击ip后面都有 HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我们就来搜这个字段。

  1. #vim fengip.sh 

  2. #! /bin/bash 
  3. for i in `seq 1 32400` 
  4. do 
  5. sleep 1 
  6. x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` 
  7. if [ -z "$x" ];then 
  8. echo "kong" >>/dev/null 
  9. else 
  10. for ip in `echo $x` 
  11. do 
  12. real=`grep -l ^$ip$ all` 
  13. if [ $? -eq 1 ];then 
  14. echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  15. iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  16. echo $ip >>all 
  17. fi 
  18. done 
  19. fi 
  20. done

  脚本写好了。如图

我们来运行一下,运行几分钟后,如下图所示

  经过半个小时的观察,服务器负载也降到0.几了,脚本也不断在封一些CC攻击的ip。

  一直让他运行着,晚上应该能睡个好觉了。

  下来我们来对脚本进行解释一下。

  1. #vim fengip.sh 
  2.  
  3. #! /bin/bash 
  4. Touch all    #建立all文件,后面有用到 
  5. for i in `seq 1 32400` #循环32400次,预计到早上9点的时间 
  6. do 
  7. sleep 1 
  8.  
  9. x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera /9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的访问日志,取出包含 'HTTP /1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序,去重复 
  10. if [ -z "$x" ];then 
  11. echo "kong" >>/dev/null #如果$x是空值的话,就不执行操作,说明500行内,没有带 'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行 
  12. else 
  13. for ip in `echo $x` #如果有的话,我们就遍历这些ip 
  14. do 
  15. real=`grep -l ^$ip$ all` #查看all文件里有没有这个ip,因为每封一次,后面都会把这个ip写入all文件,如果all文件里面有这个ip的话,说明防火墙已经封过了。 
  16. if [ $? -eq 1 ];then #如果上面执行不成功的话,也就是在all文件里没找到,就用下面的防火墙语句把ip封掉,并把ip写入all文件 
  17. echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  18. iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP 
  19. echo $ip >>all 
  20. fi 
  21. done 
  22. fi 
  23. done

  脚本很简单,大牛略过啊。。。

  有什么不明白话,欢迎一起探讨学习。

posted on 2012-06-01 09:49 顺其自然EVO 阅读(328) 评论(0)  编辑  收藏 所属分类: linux


只有注册用户登录后才能发表评论。


网站导航:
 
<2012年6月>
272829303112
3456789
10111213141516
17181920212223
24252627282930
1234567

导航

统计

常用链接

留言簿(55)

随笔分类

随笔档案

文章分类

文章档案

搜索

最新评论

阅读排行榜

评论排行榜