iptables+ipset自动封闭和解封频繁访问web服务的恶意IP

最新推荐文章于 2023-04-29 09:28:44 发布
最新推荐文章于 2023-04-29 09:28:44 发布
阅读量4.7k 收藏 5
点赞数 1
分类专栏: IPTABLE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firehive/article/details/81260169
版权

iptables直接针对ip进行封禁,在ip数量不大的时候是没什么问题的,但当有大量ip的时候性能会严重下降,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭的ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。

1. 如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。

yum install ipset -y

2.ipset创建基于ip hash的集合名称,例如blacklist,timeout 3600 表示封禁3600s;  iptables开启封禁80,443策略。

ipset create blacklist hash:ip timeout 3600
iptables -A INPUT -p tcp -m set --match-set blacklist src -m multiport --dports 443,80 -j DROP

当然,也可以封禁黑名单IP的所有请求。

iptables -I INPUT -p tcp -m set --match-set blacklist src -m multiport -j DROP

3.基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。

FILES:nginx的access.log文件

sensitive: 敏感关键字

threshold: 一分钟内请求频率阈值

#!/bin/bash

FILES="/data/nginx/logs/access.log"
sensitive="sensitive_word"
threshold=1000

ip_file="/tmp/ip_file"
sensitive_file="/tmp/sensitive_file"
DATE=`date -d '1 minutes ago' +%Y:%H:%M`

grep ${DATE} ${FILES} | awk '{print $1}' | sort | uniq -c | sort -n | tail -n 1 > ${ip_file}
grep ${DATE} ${FILES} | grep -i ${sensitive} | awk '{print $1}' | sort -n | uniq > ${sensitive_file}

ip_file_number=`awk '{print $1}' ${ip_file}`
ip_file_ip=`awk '{print $2}' ${ip_file}`

if [[ $ip_file_number -gt $threshold ]];then
    ipset add blacklist ${ip_file_ip} timeout 3600
fi

if [ -s ${sensitive_file} ];then
    for sensitive_ip in `cat ${sensitive_file}`
    do
        ipset add blacklist ${sensitive_ip}
    done
fi

4. 用crontab定时启动脚本。

echo "* * * * * bash /data/iptables_ipset_deny.sh" >> /etc/crontab

 

firehive
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于iptables 实现 ip 黑名单、白名单
nextvary的博客
05-23 545
基于iptables 实现 ip 黑名单、白名单
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5021
本文介绍Linux的iptables命令的用法。
iptablesip方法
weixin_34362790的博客
08-25 256
2019独角兽企业重金招聘Python工程师标准>>> ...
网站被IP频繁访问(阿里主机887timed out)
maolai博客
07-09 1万+
最近有点忙,没时间打理网站。前段时间个人网站出现频繁打不开现象,每天一两次,已连续一周。网站每天访问不大每天就100IP左右,流量根本不大,网站出现无法访问太合理。每次登录阿里虚拟主机后台查看都是CPU跑满,服务器已关闭。点击重启出现:1、错误提示:操作异常,887timed out2、操作异常:HSFTimeOutException-Timeout waiting for task. ERR-C...
linux iptables 关闭端口和网段
weixin_30267691的博客
10-24 2473
单个IP的命令:iptables -I INPUT -s 124.115.0.199 -j DROP IP段的命令:iptables -I INPUT -s 124.115.0.0/16 -j DROP 整个段的命令:iptables -I INPUT -s 194.42.0.0/8 -j DROP 几个段的命令:iptables -I INPUT -s 61.37.80.0/24 ...
linux 防火墙 阻止ip_LINUX服务器开启防火墙并屏蔽恶意IP
weixin_28856717的博客
01-27 502
如果有恶意IP不断访问服务器,那么将有可能导致服务器CPU等资源用尽,解决办法是开启防火墙IPTABLES并将该恶意IP屏蔽。方法如下:开启防火墙:#chkconfig iptables on开启常用端口#vi /etc/sysconfig/iptables-A VZ_INPUT -p tcp -m tcp –dport 21 -j ACCEPT-A VZ_INPUT -p udp -m udp ...
iptables禁止国外ip访问国内服务器等资源sh脚本
07-28
iptables屏蔽国外ip脚本,一键执行即可屏蔽国外ip访问国内服务器、网站、ftp等资源,脚本内置了自动安装iptablesipset,无需手动安装,只需bash执行脚本即可全自动屏蔽好,如果测试屏蔽国外ip完毕,执行bash iprct...
Nginx+iptables屏蔽访问Web页面过于频繁IP(防DDOS,恶意访问,采集器)
09-30
通过分析nginx的日志来过滤出访问过于频繁IP地址,然后添加到nginx的blockip.conf,并重启nginx.
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
ipsetiptables防火墙,需要的老板拿去!
05-10
ipset-master,
使用iptablesip
netinnet的专栏
11-04 875
在互联网上总有那么一撮人,因为各种不为人知的目的,去疯狂的骚扰你的服务器。我一个测试用的小web应用,最近不知道什么原因被盯上了,被骚扰个不停,有图有真相: 不堪其扰,所以在网上找了一下iptalesip的设置方法,不敢独享,特晒出来与大家一起学习: #单个IP iptables -I INPUT -s 123.45.6.7 -j DROP #IP段,从123.0.0.1
一段debian 下面Iptables脚本控制ip访问的例子。
xto的专栏
03-22 2288
写了好久了。自己都快忘记了顺便记在这里      1 iptables -F      2 iptables -N FIREWALL      3 iptables -F FIREWALL      4 iptables -A INPUT -j FIREWALL      5 iptables -A FORWARD -j FIREWALL      6 #pop3      7 #ipta
linux被DDOS攻击防护
上善若水~的博客
11-14 618
Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOS攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。今天墨者安全就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁。 通过 netstat 获取攻击者 IP 如果攻击者...
nginx+iptables+ipset 封禁频繁访问web服务恶意IP
AmbroseLe
04-29 1302
ipset就像一个集合,把需要封闭ip地址写入这个集合中,ipset 是O(1)的性能,可以有效解决iptables直接封禁大量IP的性能问题。如果是RedHat/CentOS,首先用yum(Ubuntu/Debian用将yum换为apt-get既可 )安装ipset。基于自定义访问频率阈值或者请求敏感关键字来创建自动筛选恶意IP的脚本/data/iptables_ipset_deny.sh。~]# ipset del ipsetname 地址。用crontab定时启动脚本。
使用iptablesIP的方法
weixin_34015336的博客
05-06 206
这两天,有一个客户的VPS,一直被采集,我告诉他迅速使用iptables掉采集源的IP,他对此命令不是很熟悉,所以在这里给今后的客户一个备忘。Linux下单个IP的命令是:iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROPIP段的命令是:iptables -I INPUT -s 211.1.0.0/16 -j DROPiptable...
网络异常调试心路历程
b178903294的博客
04-03 1146
由 b178903294创建, 最后修改于3月 27, 2020 背景: 打通dnsmasq+ipset+iptables,并且导入了网络管控规则之后。网络管控功能基本流程跑通了。欢喜之余发现上网极其卡顿,ping经常获取不到DNS、丢包、反应慢······· 网页打开速度慢到无法接受同时经常打不开。这个时候对比中性版本,发现期初中性版本能够快乐的上网,但是随着带管控平板的上网使用卡顿,渐渐地中性版本也卡了。然后就开始怀疑公司网络和路由器有问题了。恰逢公司网络这几天不稳定,所以就摔锅...
Dnsmasq+ipset+iptables基于域名的流量管理
热门推荐
lvshaorong的博客
11-04 2万+
iptables只能根据ip地址进行转发,不能识别域名,而dnsmasq-full不仅可以实现域名-IP的映射,还可以把这个映射关系存储再ipset中,所以使用dnsmasq+ipset就可以实现iptables对域名的转发,可以实现很多功能,比如:禁止浏览某些网站,对国内和国外的流量进行分流等。本文主要介绍了dnsmasq+ipset+iptables的配置
ipset+iptables封禁以及自动IP
qq_23587541的博客
11-10 2428
iptables掉少量ip处理是没什么问题的,但是当有大量ip攻击的时候性能就跟不上了,iptables是O(N)的性能。而ipset就像一个集合,把需要封闭ip地址放入这个集合中,ipset 是O(1)的性能,用的hash方式所以特别快。ipset的一个优势是集合可以动态的修改,即使ipsetiptables规则目前已经启动,新加的入ipsetip也生效。 一、软件及安装     1...
系统未安装iptablesipset或Dnsmasq没有开启ipset支持
最新发布
06-11
这个问题涉及到系统的网络设置和软件安装,我需要更多的上下文信息才能给出具体的答案。可以告诉我你使用的操作系统和网络环境吗?另外,你需要确保你的系统已经安装了iptablesipset,并且Dnsmasq已经开启了ipset支持。你可以通过以下命令来检查是否已经安装iptablesipset: ``` sudo apt-get update sudo apt-get install iptables ipset ``` 如果你使用的是其他操作系统,可以查阅对应的操作系统文档来了解如何安装iptablesipset。对于Dnsmasq开启ipset支持的问题,你需要在Dnsmasq的配置文件中进行设置。具体的配置方法可以查阅Dnsmasq的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值