cat /usr/lib/systemd/system/eisc-anfang.service [Unit] # 服务描述 Description=eisc anfang # 在网络初始化之后启动 #After=network.target remote-fs.target nss-lookup.target After=auditd.service systemd-user-sessions.service time-sync.target [Service] #Type=forking # 保留一个守护进程,持续运行,会报错,不加这个参数。 #PrivateTmp=true # 工作目录 WoringDirectory=/eisc/anfang # 启动命令 ExecStart=/eisc/anfang/ip.sh RestartSec=30s # 重启服务, 无效, # 需要在脚本里面自己加 无限循环,保持运行生命 [Install] # 当系统以多用户方式启动时,这个服务需要被自动运行 WantedBy=multi-user.target nano /eisc/anfang/ip.sh #!/bin/bash # 小绿叶技术博客扫段攻击拦截系统 #抓包监控tcp攻击ip进行拦截。 zhuabao(){ echo "eisc 安防系统启动扫描,时间 :" `date +%Y-%m-%d-%H:%M:%y` >> /root/eisc-anfang.txt # 将firewalld 防火墙加入开机启动 folder="/anfang/ip" mkdir -p $folder # 抓包等待30s 杀掉进程,符号 & 并列执行 zdyljs=1800 timetcp=300 tcpdump -nn > $folder/ipfwyuan.txt & sleep $timetcp ; killall -9 tcpdump ; sleep 3 echo "访问限制tcp连接数;$zdyljs 抓包时长为 $timetcp" rm -rf $folder/ipfw.txt cat $folder/ipfwyuan.txt | awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3 "." $4}' |sort | uniq -c > $folder/ipfw.txt #sed -nr 's/(^|.*[^0-9])(([0-9]+\.){3}[0-9]+).*/\2/p' $folder/ipfwyuan.txt |sort | uniq -c > $folder/ipfw.txt #筛选出日志的ip 记录 #sed -i "s/\[/ /g" $folder/ipfw.txt;sed -i "s/\]/ /g" $folder/ipfw.txt ; sed -i "s/>/ /g" $folder/ipfw.txt ; sed -i '/[a-zA-Z]/d' $folder/ipfw.txt ; #sed -i '/.../d' $folder/ipfw.txt ; sed -i '/:/d' $folder/ipfw.txt ; sed -i "/^$/d" $folder/ipfw.txt # 清除文件特殊字符和空格 sed -i "/^$/d" $folder/ipfw.txt cat $folder/ipfw.txt #-------------------------------- 防火墙 ------------------------------------------# echo "查询数据库白名单:" mysql -h 10.111.111.2 -uenchantment -peisccn -e "use enchantment;select * from setip" mysql -h 10.111.111.2 -uenchantment -peisccn@eisc -e "use enchantment;select * from setip" > /anfang/ip/bmd-ip.txt #查询数据库白名单,脚本每次执行查询一次数据库 #---------- 白名单:判断是否拦截 -------# } # zhuabao bmd(){ file="/anfang/ip/bmd-ip.txt" # 白名单文件 pd=`cat $file | awk -F" " '{print $3}' | grep $ip` # 白名单文件打印第三列为ip地址 # 没有数据库可以删除查询数据库,可以直接写入 if [ ${#pd} -lt 7 ] # ${#} 符号标识字符串长度 then echo "查询匹配 ip: $ip 的长度小于7 没有白名单,将被禁止访问 " else echo "ip: $ip 不小于7查询到数据有白名单,ip 不会被拦截" ip="" fi } #安全防火墙拦截规则执行firewalld firewalldjz(){ iptables -I INPUT -s $ip -j DROP } #------------ ip 白名单:被封禁后解除限制 ------------# bmdIP(){ # 小绿叶结界-解除ip限制,由ip白名单库放行 ip=(`cat /anfang/ip/bmd-ip.txt | awk -F" " '{print $3}' `) for((i>0;i<${#ip[*]};i++)) do ip=${ip[$i] } ipd=$(echo $ip | awk -F"." '{print $1 "." $2 "." $3 "." "0/24"}') echo "解除ip:$ip 解除ip网段:$ipd" ID=`iptables -L -n --line-number | grep $ip | awk -F" " '{print $1}'` ; echo "ID : $ID ip: $ip 将被解除限制访问" && iptables -D INPUT $ID ID=`iptables -L -n --line-number | grep $ipd | awk -F" " '{print $1}'` ; echo "ID : $ID ipd: $ipd 将被解除限制访问" && iptables -D INPUT $ID iptables -I INPUT -s $ip -p TCP --dport 1:65535 -j ACCEPT done } #--------- 安防监控异常 ip ---------# anfangip(){ NR=$(cat $folder/ipfw.txt | wc -l); echo $NR ipfw=(`cat $folder/ipfw.txt | awk -F" " '{print $2}'`) ; echo $ipfw for((i=0;i<$NR;i++)) do ljs=`cat $folder/ipfw.txt | grep ${ipfw[$i]} | awk -F" " '{print $1}'` ; echo "${ipfw[$i]} 连接数为: $ljs" if [ $ljs -gt $zdyljs ] then ip=${ipfw[$i]} iphc=$ip bmd firewalldjz if [ ${#ip} -lt 7 ] then echo `date +%Y-%m-%d-%H:%M:%y` " $iphc 存在白名单, 连接次数:$ljs " >> $folder/jinzhiip.txt else echo `date +%Y-%m-%d-%H:%M:%y` "$ip 连接数为: $ljs 超过法制:$zdyljs 连接数" >> $folder/jinzhiip.txt fi fi done } #anfangip #--------- 安防日志文件 ---------# filelog(){ cat $folder/ipfw.txt >> $folder/rizhi.txt echo `date` >> $folder/rizhi.txt # 实时监控日志ipfw.txt存入长期保存ip地址库 rizhi.txt # cat $folder/rizhi.txt > /root/rizhi.txt } filelog # #--------- 安防监控异常 ip 网段 ---------# anfangipd(){ cat /dev/null > $folder/saoduanrun.txt # 情况实时计算网段库,重新计量记录 cat $folder/ipfwyuan.txt| awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3}' |sort | uniq -c > $folder/saoduanrun.txt ; echo "--------- 获得实时日志 saoduanrun.txt 开始判断 -------------- " cat $folder/saoduanrun.txt >> $folder/saoduan.txt ; cat $folder/saoduan.txt > /root/saoduan.txt # 获得网段:实时日志 rizhi.txt 过滤ip段; 存入实时 saoduanrun.txt 扫段日志 ; 扫段日志长期保留ip网段库 saoduan.txt wdk=(`cat $folder/saoduanrun.txt | awk -F" " '{print $2 }'`) # 定义ip段数组:打印第二列为ip NR=${#wdk[*]} # 数组的所有个数为个数 for((i=0;i<$NR;i++)) do wdsa=`cat $folder/saoduanrun.txt | grep ${wdk[$i]} | awk -F" " '{print $1}'` # 查看文本,过滤ip,打印第一列为 并发数量 ip=${wdk[$i]} if [ $wdsa -gt $zdyljs ] then bmd ip=`echo "$ip.0/24"` iphc=$ip firewalldjz if [ $ip -lt 7 ] then echo `date +%Y-%m-%d-%H:%M:%y` "存在白名单:$iphc 连接次数:$wdsa " >> $folder/saoduan.txt else echo `date +%Y-%m-%d-%H:%M:%y` "禁止访问: $ip 网段连接数为: $wdsa 超过法制:$zdyljs 连接数 " >> $folder/saoduan.txt fi else echo "$ip.0/24 没有违反规定并发:$zdyljs ,不进行限制 当前并发: $wdsa " fi done } # anfangipd && bmdIP ; iptables -L -n --line-number | grep DROP # 拦截ip 与 ip 白名单解除限制 # export eisc # 全局变量 eisc # set unset eisc # 取消全局变量 eisc # /etc/profile ~/bashrc 环境变量 #您在 /var/spool/mail/root 中有邮件 function main(){ while : do zhuabao && anfangip && anfangipd && bmdIP && iptables -L -n --line-number | grep DROP sleep 3 # 由于tcpdump 抓包,会占用5分钟,抓完流程走完,在受到循环流程,持续运行 done echo `date` "程序已经间隔 360 秒,继续运行" echo `date` "程序已经间隔 360 秒,继续运行" >> /root/eisc-anfang.txt } main
tcpdump 方式检测ip 网段 扫段 tcp并发数攻击防御shell 脚本
2021-10-10
769
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《
阿里云开发者社区用户服务协议》和
《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写
侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
简介:
tcpdump 自定义抓包时间将信息存入文件, 以systemd 系统服务方式进行启动
目录
相关文章
|
2月前
|
存储
安全
Unix
七、Linux Shell 与脚本基础
别再一遍遍地敲重复的命令了,把它们写进Shell脚本,就能一键搞定。脚本本质上就是个存着一堆命令的文本文件,但要让它“活”起来,有几个关键点:文件开头最好用#!/usr/bin/env bash来指定解释器,并用chmod +x给它执行权限。执行时也有讲究:./script.sh是在一个新“房间”(子Shell)里跑,不影响你;而source script.sh是在当前“房间”里跑,适合用来加载环境变量和配置文件。
395
9
9
|
2月前
|
存储
Shell
Linux
八、Linux Shell 脚本:变量与字符串
Shell脚本里的变量就像一个个贴着标签的“箱子”。装东西(赋值)时,=两边千万不能有空格。用单引号''装进去的东西会原封不动,用双引号""则会让里面的$变量先“变身”再装箱。默认箱子只能在当前“房间”(Shell进程)用,想让隔壁房间(子进程)也能看到,就得给箱子盖个export的“出口”戳。此外,Shell还自带了$?(上条命令的成绩单)和$1(别人递进来的第一个包裹)等许多特殊箱子,非常有用。
268
2
2
|
5月前
|
Shell
Shell脚本循环控制:shift、continue、break、exit指令
使用这些命令可以让你的Shell脚本像有生命一样动起来。正确使用它们,你的脚本就能像一场精心编排的舞蹈剧目,既有旋律的起伏,也有节奏的跳跃,最终以一场惊艳的表演结束。每一个动作、每一个转折点,都准确、优雅地完成所需要表达的逻辑。如此,你的脚本不只是冰冷的代码,它透过终端的界面,跳着有节奏的舞蹈,走进观众——使用者的心中。
246
60
60
|
2月前
|
数据采集
监控
Shell
无需Python:Shell脚本如何成为你的自动化爬虫引擎?
Shell脚本利用curl/wget发起请求,结合文本处理工具构建轻量级爬虫,支持并行加速、定时任务、增量抓取及分布式部署。通过随机UA、异常重试等优化提升稳定性,适用于日志监控、价格追踪等场景。相比Python,具备启动快、资源占用低的优势,适合嵌入式或老旧服务器环境,复杂任务可结合Python实现混合编程。
133
0
0
|
8月前
|
关系型数据库
MySQL
Shell
MySQL 备份 Shell 脚本:支持远程同步与阿里云 OSS 备份
一款自动化 MySQL 备份 Shell 脚本,支持本地存储、远程服务器同步(SSH+rsync)、阿里云 OSS 备份,并自动清理过期备份。适用于数据库管理员和开发者,帮助确保数据安全。
331
0
0
|
4月前
|
Web App开发
缓存
安全
Linux一键清理系统垃圾:释放30GB空间的Shell脚本实战
这篇博客介绍了一个实用的Linux系统盘清理脚本,主要功能包括: 安全权限检查和旧内核清理,保留当前使用内核 7天以上日志文件清理和系统日志压缩 浏览器缓存(Chrome/Firefox)、APT缓存、临时文件清理 智能清理Snap旧版本和Docker无用数据 提供磁盘空间使用前后对比和大文件查找功能 脚本采用交互式设计确保安全性,适合定期维护开发环境、服务器和个人电脑。文章详细解析了脚本的关键功能代码,并给出了使用建议。完整脚本已开源,用户可根据需求自定义调整清理策略。
479
1
1
|
6月前
|
存储
Unix
Shell
确定Shell脚本在操作系统中的具体位置方法。
这对于掌握Linux的文件系统组织结构和路径方面的理解很有帮助,是我们日常工作和学习中都可能使用到的知识。以上讲解详细清晰,应用简便,是每一个想要精通操作系统的计算机爱好者必备的实用技能。
165
17
17
|
6月前
|
Linux
Shell
|
6月前
|
Linux
Shell
数据安全/隐私保护
|
7月前
|
Linux
Shell
在Linux、CentOS7中设置shell脚本开机自启动服务
以上就是在CentOS 7中设置shell脚本开机自启动服务的全部步骤。希望这个指南能帮助你更好地管理你的Linux系统。
597
25
26
热门文章
最新文章
1
Linux tcpdump命令详解
2
curl+tcpdump抓包脚本一例
3
Linux网络抓包分析工具Tcpdump基础篇[参数说明]
4
TcpDump 抓包 传输数据包
5
Tcpdump 的用法
6
tcpdump/HTTP协议实践
7
运维工程师必会工具(Nmap和TCPdump)
8
tcpdump/HTTP协议实践
9
网络抓包工具 - tcpdump
10
使用tcpdump抓取容器中的数据包
1
八、Linux Shell 脚本:变量与字符串
268
2
七、Linux Shell 与脚本基础
395
3
无需Python:Shell脚本如何成为你的自动化爬虫引擎?
133
4
Linux一键清理系统垃圾:释放30GB空间的Shell脚本实战
479
5
Shell脚本循环控制:shift、continue、break、exit指令
246
6
确定Shell脚本在操作系统中的具体位置方法。
165
7
Centos或Linux编写一键式Shell脚本创建用户、组、目录分配权限指导手册
371
8
Centos或Linux编写一键式Shell脚本删除用户、组指导手册
185
9
shell_42:Linux参数移动
149
10
在Linux、CentOS7中设置shell脚本开机自启动服务
597