#!/bin/bash
# 日志文件路径
logfile=/usr/local/nginx/logs
last_minutes=1
# 开始时间1分钟之前(这里可以修改,如果要几分钟之内攻击次数多少次,这里可以自定义)
start_time=`date -d"$last_minutes minutes ago" +"%Y-%m-%d"T"%H:%M:%S"`
echo $start_time
# 结束时间现在
stop_time=`date +"%Y-%m-%d"T"%H:%M:%S"`
echo $stop_time
cur_date="`date +%Y-%m-%d`"
echo $cur_date
# 过滤出单位之间内的日志并统计最高ip数,请替换为你的日志路径
tac $logfile/access.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($2,1);if(t>=st && t<=et){print $1}}' |sort | uniq -c | sort -nr > $logfile/log_ip_top10
#ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
# 出现横杠使用sed去掉第一行
#sed -i '1d' $logfile/log_ip_top10
# 单位时间[1分钟]内单ip访问次数超过200次的ip记录入black.txt
ip=`cat $logfile/log_ip_top10 | awk '{if($1>200)print $2}'`
for line in $ip
do
echo $line >> $logfile/getip.txt
echo $line
iptables -I INPUT -p tcp -m multiport --dport 80,443 -s $line -j DROP
done
# ab -n 1000 -c 100 http://192.168.2.3/ 使用ab测试 模仿100个客户端访问1000次
# webbench -c 2 -t 2 http://192.168.2.3/ 使用webbench测试
# 删除之前日志
# 定义日志格式
# log_format main '$remote_addr $time_iso8601 $status $http_x_forwarded_for '
# '$remote_user $http_host $request $upstream_addr '
# 'ups_resp_time:$upstream_response_time request_time:$request_time';
# access_log logs/access.log main;
#192.168.2.21 2019-08-14T16:48:03+08:00 200 - - 192.168.2.27 GET / HTTP/1.0 - ups_resp_time:- request_time:0.000
# 注释iptables -I INPUT -s $line -j DROP
# 查看 log_ip_top10文件 分析IP地址
# cat access.log |grep IP