tcpdump 方式检测 ip ip段 tcp并发数攻击防御shell 脚本-阿里云开发者社区

开发者社区> eisc> 正文

tcpdump 方式检测 ip ip段 tcp并发数攻击防御shell 脚本

简介: tcpdump 自定义抓包时间将信息存入文件
+关注继续查看

#!/bin/bash

# 小绿叶技术博客扫段攻击拦截系统

#抓包监控tcp攻击ip进行拦截。

systemctl enable firewalld ; systemctl start firewalld

# 将firewalld 防火墙加入开机启动

folder="/anfang/ip"

mkdir -p $folder

# 抓包等待30s 杀掉进程,符号 & 并列执行

zdyljs=230

timetcp=3480

tcpdump -nn port 80 or port 443 or port 22 > $folder/ipfwyuan.txt & sleep $timetcp ; killall -9 tcpdump ; sleep 3

echo "访问限制tcp连接数;$zdyljs   抓包时长为 $timetcp"

rm -rf $folder/ipfw.txt

cat $folder/ipfwyuan.txt | grep S | awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3 "." $4}'  |sort  | uniq -c > $folder/ipfw.txt

#sed -i "s/\[/ /g" $folder/ipfw.txt;sed -i "s/\]/ /g" $folder/ipfw.txt ; sed -i "s/>/ /g" $folder/ipfw.txt ; sed -i '/[a-zA-Z]/d' $folder/ipfw.txt ;

#sed -i '/.../d' $folder/ipfw.txt ; sed -i '/:/d' $folder/ipfw.txt ; sed -i "/^$/d"  $folder/ipfw.txt

# 清除文件特殊字符和空格

sed -i "/^$/d" $folder/ipfw.txt

cat $folder/ipfw.txt

#

#---------  安全防火墙拦截规则执行firewalld ---------#

firewalldjz(){

             firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="80" reject"

             firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="443" reject"

              firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="22" reject"

             firewall-cmd --reload

}

#

#---------  安防监控异常 ip ---------#

anfangip(){

NR=$(cat $folder/ipfw.txt | wc -l); echo $NR

ipfw=(`cat $folder/ipfw.txt | awk -F" " '{print $2}' | grep -vE "172.24|172.17|127.0|0.0|182.149"  `) ; echo $ipfw

for((i=0;i<$NR;i++))

 do

    ljs=`cat $folder/ipfw.txt | grep ${ipfw[$i]} | awk -F" " '{print $1}'` ; echo "${ipfw[$i]} 连接数为: $ljs"

    if [ $ljs -gt $zdyljs  ]

        then

                               ip=${ipfw[$i]}

                               firewalldjz

                               echo "$ip 连接数为: $ljs    超过法制:$zdyljs 连接数,被禁止访问" >> $folder/jinzhiip.txt

               echo "$ip 连接数为: $ljs    超过法制:$zdyjks 连接数,被禁止访问 并且计入日志文件:$folder/jinzhiip.txt"

        fi

 done

}

anfangip

#

#---------  安防日志文件 ---------#

filelog(){

cat $folder/ipfw.txt >> $folder/rizhi.txt

echo `date` >> $folder/rizhi.txt

# 实时监控日志ipfw.txt存入长期保存ip地址库 rizhi.txt

#

cat $folder/rizhi.txt > /root/rizhi.txt

}

filelog

#

#---------  安防监控异常 ip 网段 ---------#

anfangipd(){

cat /dev/null > $folder/saoduanrun.txt  # 情况实时计算网段库,重新计量记录

cat $folder/ipfwyuan.txt| awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3}' | grep -wvE "127.0|172.24|172.17|0.0|100.100|10.0|192.168|182.149" |sort  | uniq -c > $folder/saoduanrun.txt ;

echo "---------  获得实时日志 saoduanrun.txt 开始判断 -------------- "

cat $folder/saoduanrun.txt >> $folder/saoduan.txt ; cat $folder/saoduan.txt > /root/saoduan.txt

# 获得网段:实时日志 rizhi.txt 过滤ip段; 存入实时 saoduanrun.txt 扫段日志 ; 扫段日志长期保留ip网段库 saoduan.txt

wdk=(`cat $folder/saoduanrun.txt | awk -F" " '{print $2 }'`)

# 定义ip段

NR=${#wdk[*]}

for((i=0;i<$NR;i++))

 do

    wdsl=`cat $folder/saoduanrun.txt | grep ${wdk[$i]} | awk -F" " '{print $1}'`

    ipd=${wdk[$i]} ; ip=`echo "$ipd.0/24"`

    echo "网段 $ip  连接数为:$wdsl  由网段进行转换:${wdk[$i]}"

    if [ $wdsl -gt $zdyljs  ]

        then

           firewalldjz

           echo "$ip 网段连接数为: $wdsl    超过法制:$zdyljs 连接数,被禁止访问" >> $folder/saoduan.txt

           echo "$ip 网段连接数为: $wdsl    超过法制:$zdyljs 连接数,被禁止访问 存入日志文件  $folder/saoduan.txt  "

        fi

 done

}

anfangipd

# export eisc        # 全局变量 eisc

# set unset eisc     # 取消全局变量 eisc

# /etc/profile  ~/bashrc  环境变量


#------------- 解除限制 -----------#

#!/bin/bash

ip=182.149.165.191

ipd=`echo $ip | awk -F"." '{print $1 "." $2 ".0." "0/16"}'`

firewalldjz(){

             firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="80" reject"

             firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="443" reject"

              firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="22" reject"

             firewall-cmd --reload

}

firewalldwd(){

             firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ipd" port protocol="tcp" port="80" reject"

             firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ipd" port protocol="tcp" port="443" reject"

              firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ipd" port protocol="tcp" port="22" reject"

             firewall-cmd --reload

}

firewalldjz ; firewalldwd ; firewall-cmd --list-all


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
产品百科 |RTC Windows SDK 如何进行设备检测?
本文为您介绍了阿里云 RTC 的设备检测和管理功能,您可以在加入频道之前检查硬件设备是否能正常工作。
36 0
产品百科 |RTC Mac SDK 如何进行设备检测?
本文为您介绍了阿里云 RTC 的设备检测和管理功能,您可以在加入频道之前检查硬件设备是否能正常工作。
33 0
高可用检测脚本failover.sh
#!/bin/sh VIP="10.0.0.1" DEV="eth0" healthcheck(){ ping -c 1 -w 1 $VIP >/dev/null return $? } ip_takeover(){ MAC=`ip link sho...
779 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
7751 0
利用shell脚本拒绝TCP连接数大于20的IP
  最近服务器频繁遭到CC攻击,抓包、分析连接数后,发现单台服务器的并发连接数达到5万多,本想利用iptables的connlimit模块对连接数据进行限制的,无奈我接手的这几台服务器都没打此...
733 0
四,ESP8266 TCP服务器(基于Lua脚本语言)
我要赶时间赶紧写完所有的内容....朋友的东西答应的还没做完呢!!!!!!!没想到又来了新的事情,,....... 配置模块作为TCP服务器然后呢咱们连接服务器发指令控制继电器吸合和断开   控制的指令呢咱就配置成---- http://www.
1618 0
+关注
eisc
踏实工作,励志拼搏
84
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载