shell结合iptables自动处理CC攻击（转载）-阿里云开发者社区

shell结合iptables自动处理CC攻击（转载）

2017-11-12 856

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

www.*****.com:80 118.251.244.183 - - [26/May/2010:20:22:16 +0800] "POST /syxcms/vote.php?act=submit HTTP/1.1" 200 56 " http://www.*****.com/news/201005/news-6213.shtml " "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
www.*****.com:80 118.251.244.183 - - [26/May/2010:20:22:16 +0800] "POST /syxcms/vote.php?act=submit HTTP/1.1" 200 72 " http://www.*****.com/news/201005/news-6213.shtml " "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
www.*****.com:80 118.251.244.183 - - [26/May/2010:20:22:16 +0800] "POST /syxcms/vote.php?act=submit HTTP/1.1" 200 56 " http://www.*****.com/news/201005/news-6213.shtml " "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

大概原理就是对最新日志里面的客户端访问IP进行采样统计分析，然后对超出正常访问次数的IP进行屏蔽，如下面统计分析后的结果：

对最新1000条日志的客户端访问IP进行排序统计访问次数。比如第一个IP 219.128.20.68 1000条日志就有295条，访问肯定不正常

root@ubuntu134 :# tail access.log -n 1000 |grep vote.php |awk {'print $2'} |sort |uniq -c |sort -nr
   295 219.128.20.68
   175 113.250.97.209
   164 218.87.140.39
   153 59.61.215.42
     98 222.240.182.234
     83 220.181.110.65
     73 120.38.1.255
     62 221.3.99.106
     21 220.249.83.74
     12 218.22.10.114
      1 123.52.158.16
      1 114.81.115.201

然后就是自动处理，如果1000条日志单IP超过50条就屏蔽掉

*/2 * * * * /usr/local/nginx/var/log/drop.sh

#!/bin/sh
cd /usr/local/nginx/var/log
tail access.log -n 1000 |grep vote.php |awk {'print $2'} |sort |uniq -c |sort -nr |awk '{if ($2!=null && $1>50) {print $2}}' > drop_ip.txt
for i in `cat drop_ip.txt`
do
/sbin/iptables -I INPUT -s $i -j DROP;
done

这shell 每几分钟执行一次，就可自动屏蔽那些不正常IP，相信大家都看的懂，下面是针对连接数屏蔽代码

#!/bin/sh
/bin/netstat -ant |grep 80 |awk '{print $5}' |awk -F : '{print $1}' |sort |uniq -c |sort -rn |grep -v -E '192.168|127.0' |awk '{if ($2!=null && $1>50) {print $2}}' > drop_ip.txt
for i in `cat drop_ip.txt`
do
/sbin/iptables -I INPUT -s $i -j DROP;
done

说下，grep -v -E '192.168|127.0' 也就是排除内网IP，免得把自己给屏蔽了，当然还可以加些自己的IP。

http://sookk8.blog.51cto.com/455855/448539

本文转自 liang3391 51CTO博客，原文链接:http://blog.51cto.com/liang3391/769473

shell结合iptables自动处理CC攻击（转载）

热门文章

最新文章

相关课程

相关电子书

相关实验场景