4. 自动封IP和解IP

最新推荐文章于 2023-04-30 00:02:36 发布
最新推荐文章于 2023-04-30 00:02:36 发布
阅读量1.7k 收藏 3
点赞数 2
分类专栏: # Shell脚本 文章标签: linux shell

对于web服务器来说,出现最普遍的问题就是网站访问慢甚至访问不到,到服务器上查看后得出的结论是,这个网站被CC攻击了。什么是CC攻击?CC攻击属于DDos攻击的一种,攻击者会利用大量被劫持的“肉鸡”对攻击目标网站发起请求,并且频率很快,这样会导致目标网站的服务器承受不住请求压力而瘫痪。

CC攻击虽然看起来跟正常的访问没有什么区别,但如果我们仔细分析访问日志还是可以找到一些线索,比如某个IP访问频次很高,或者某几个IP的user_agent是固定的等等特性,有的甚至会去模仿正规的搜索引擎,比如,把自己伪装成百度的“蜘蛛爬虫”。当遇到CC攻击时,只要你肯花费一些精力来分析访问日志,终究是可以找到发起CC攻击的真凶,然后封掉他们的IP就行了。

本案例就是要自动封IP和解IP,具体需求如下:

1)每分钟分析一次访问日志 /data/logs/access_log ,日志片段如下:
50.118.255.36 - - [20/Dec/2018:12:42:04 +0800] "GET http://www.sbjudge2.com/azenv.php HTTP/1.1" 301 178 "-" "Mozilla/5.0 (compatible; MSIE 6.0; Windows NT 5.1; Trident/5.0)"
111.206.198.31 - - [20/Dec/2018:12:46:57 +0800] "GET /content/uploads/2018/10/%E5%A4%87%E6%A1%88%E5%9B%BE%E6%A0%87.png HTTP/1.1" 200 509 "https://www.lzxlinux.com/archives/tag/%E8%87%AA%E5%8A%A8%E5%8C%96%E8%BF%90%E7%BB%B4/" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1 (compatible; Baiduspider-render/2.0; +http://www.baidu.com/search/spider.html)"
111.121.113.93 - - [20/Dec/2018:13:02:34 +0800] "GET /archives/80365/ HTTP/1.1" 200 11059 "https://www.google.com.hk/" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.108 Safari/537.36 MZBrowser/7.9.4"

2)把访问量高于100的IP封掉;

3)封过的IP都要记录到一个日志文件中;

4)每隔30分钟检查一次被封的IP,把没有请求或者请求很少的IP解封;

5)解封的IP记录到另外一个日志文件中。

参考脚本如下:

#!/bin/bash
#把访问量很大的IP封掉,如果30分钟内被封IP的请求几乎没有就解封IP

#定义1分钟以前的时间,用于过滤1分钟以前的日志
t1=`date -d "-1 min" +%Y:%H:%M`
log=/data/logs/access_log

block_ip()
{
    egrep "$t1:[0-5]+" $log > /tmp/tmp_last_min.log
    
    #把1分钟内访问量高于100的IP记录到一个临时文件中
    awk '{print $1}' /tmp/tmp_last_min.log |sort -n |uniq -c |sort -n |awk '$1>100 {print $2}' > /tmp/bad_ip.list
    
    #计算IP的数量
    n=`wc -l /tmp/bad_ip.list |awk '{print $1}'`
    
    #当ip数大于0时,才会用iptables封掉它
    if [ $n -ne 0 ];then
        for ip in `cat /tmp/bad_ip.list`
        do
            iptables -I INPUT -s $ip -j REJECT
        done
        
        #将这些被封IP记录到日志里
        
        echo "`date` 封掉的IP有:" >> /tmp/block_ip.log
        cat /tmp/bad_ip.list >> /tmp/block_ip.log
    fi
}

unblock_ip()
{
    #首先将包个数小于5的ip记录到一个临时文件里,把他们标记为白名单IP
    iptables -nvL INPUT |sed '1d' |awk '$1<5 {print $8}' > /tmp/good_ip.list
    n=`wc -l /tmp/good_ip.list |awk '{print $1}'`
    
    if [ $n -ne 0 ];then
        for ip in `cat /tmp/good_ip.list`
        do
            iptables -D INPUT -s $ip -j REJECT
        done
        
        echo "`date` 解封的IP有:" >> /tmp/unblock_ip.log
        cat /tmp/good_ip.list >> /tmp/unblock_ip.log
    fi
    
    #当解封完白名单IP后,将计数器清零,进入下一个技术周期
    iptables -Z
}

#取当前时间的分钟数
t=`date +%M`

#当分钟数为00或30时(即每隔30分钟),执行解封IP的函数,其他时间只执行封IP的函数
if [ $t == "00" ] || [ $t == "30" ];then
    unblock_ip
    block_ip
else
    block_ip
fi

增加定时任务:

* * * * * /bin/bash /usr/local/sbin/blockip.sh &>/tmp/blockip.log
最爱喝酸奶
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《计算机网络安全》试题及答案.docx
06-06
不具有破坏性 以下关于宏病毒说法正确的是:( B ) 宏病毒主要感染可执行文件 宏病毒仅向办公自动化程序编制的文档进行传染 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区 CIH病毒属于宏病毒 以下哪一项不属于...
爬虫怎么在requests中设置自己clash软件的代理ip
m0_56676945的博客
02-25 6657
需要注意的是,这里的"http"和"https"是代理协议的名称,而不是实际的协议类型。在这里,我们使用"http"作为代理协议的名称,是因为Clash代理的默认配置使用HTTP协议作为代理协议的类型,而不是HTTPS。在这段代码中,HTTP代理和HTTPS代理的IP地址都设置为了"http://127.0.0.1:7890",这是因为Clash代理默认只提供了一个IP地址和端口,用于同时提供HTTP和HTTPS代理服务。因此,当我们设置代理时,使用"http"作为代理协议的名称即可。
无法自动获取IP地址
子扉居
09-11 8676
现象:某天突然无法自动获取IP地址,手工指定IP地址可以上网。 愿景:恢复到自动获取IP地址。 处理过程:重新制作网线水晶头,无效; 重新制作网线为交叉线,无效,排除是网线原因。 用8PE启动计算机,尝试获取地址,无效; 用03PE启动计算机,尝试获取地址,无效,排除是系统原因。 通过百度,猜测:无线路由器做交换机使用(wlan口悬空),虽然关闭了内置的DHCP服务,但是仍然引起DHC
解决挂过代理之后ip不变
热门推荐
iqiqiya的博客
08-27 3万+
  将模式改为全局即可
Nginx自动封锁拉黑可疑IP
良月柒
04-30 803
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 3 分钟。来自:https://blog.csdn.net/lemon_TT一、Nginx封禁ip1、简介在网站维护过程中,有时候我们需要对一些IP地址或是一些IP段进行封锁拉黑,使其不能访问网站。如果你的网站服务器的网站运行环境是由nginx搭建的,那么nginx中禁止ip的方法可以有效的防止网站被黑。2、nignx 禁止IP...
网站被攻击?Nginx 实现自动封禁IP
灵熙云工作室
01-05 495
网站总被攻击?写个自动封禁IP的脚本吧
Asp.Net Forums 2 v1.1 源代码.zip
07-09
主题的固顶和解固顶功能 会员注册邮件验证功能 可管理的会员在指定时期内的编辑/删除贴子功能 可编辑的跟踪和登录信息功能 全程记录用户,版主和管理员的所有操作记录 贴子报告功能 版主短信群发功能 会员等级...
计算机网络课程设计--校园网的规划设计.doc
05-25
16 3.6.3汇聚层设备选型 16 3.6.4接入层设备选型 16 3.6.5防火墙选型 16 3.6.6 服务器的选型 16 3.7校园网VLAN以及IP的划分 17 第4章 网络管理 19 第5章 系统主要设备报价 20 参考文献 21 课程设计总结 23 第1章 ...
ASP200问.EXE
05-20
50.如何获取用户真实的IP地址 52.如何判断网站的虚拟物理路径 53.如何解决URL含有特殊字符引发的错误 第4章 ASP组件 55.如何使用Browser Capabilities组件获取浏览器信息 56.如何使用Ad Rotator组件实现页面导航 ...
Discuz! X2 R20120628 简体UTF-8.zip
07-16
FIX 因input的autofocus属性导致在chrome浏览器中自动跳转到顶部的问题 FIX QQ互联feedlog 表同步到空间和微博的 status合并 FIX 优化QQ互联微博签名档和解绑功能 FIX 管理面板删帖不进回收站...
windows防火墙批量添加黑名单ip小工具.exe
01-05
这个工具, 主要是针对,攻击服务器的CC小流量那种,相关网关过虑出来CCIP后, 利用本工具可以直接将该IP自动添加到windows系统防火墙中(前提是要把防火墙开起来),非常省事.
防止cc攻击,自封ip脚本
08-31
①、脚本发邮件需要安装 sendmail,若未安装请执行 yum -y install sendmail 安装并启动即可; ②、若要停止后台运行的脚本,只要使用 ps aux 命令找到该脚本的 pid 线程号,然后执行 kill -9 pid 号即可结束; ③、关于脚本的单 IP 并发限制,我实际测试同时打开博客多个页面并持续刷新,顶多也就产生十来个并发,所以单 IP 超过 50 个并发就已经有很大的问题了!当然,文章的阈值设为 50 也只是建议值,你可以根据需求自行调整(如果网站静态文件未托管到 CDN,那么一个页面可能存在 10 多个并发); ④、写这个脚本,主要是为了弥补用 crontab 执行时间间隔最低只能是 1 分钟的不足,可以让 CC 防护更严密,甚至每隔 1S 执行一次!虽说脚本不怎么占用资源,不过还是建议 10s 执行一次为佳,不用太过极端是吧? ⑤、对于白名单过滤,只要将白名单 IP 保存到脚本同一目录下的 white_ip.txt 文件中即可,若发现攻击 IP 在白名单中,脚本不会直接拉黑,而是发一封邮件给你,让你自己判断这个白名单攻击你是为毛?如果白名单需要支持 IP 段,请参考我前天写的脚本即可。
自动封禁IP
南帝
01-18 568
shell脚本自动封禁ip
nginx配置自动ip
qq_32394351的博客
11-25 3132
自己写了个脚本,用于服务器自动抵御异常爬虫程序 #!/bin/bash banip_run(){ nginx_home=/usr/sbin/nginx log_path=/var/log/nginx nginx_etc=/etc/nginx/conf.d maxcn=3000 history=50000 cat /dev/null > $log_path/ban_ip_tmp.txt tail -n$history $log_path/access.log \ |awk '{print $1,$
我的网站被攻击了,运维大佬给了我自动封禁ip的脚本
qq_44005305的博客
02-16 399
我之前的思路是配置nginx的黑名单,每次填加新的黑名单之后,还要重启Nginx。大佬告诉我,不用这么麻烦:直接用Linux的iptables防火墙,既高效又简单。连403都不要那些坏人看到!如果你也碰到类似的问题,欢迎复刻我的经验。如果你有更好的方案,欢迎赐教我这个“被攻击的萌新。
我的网站被攻击了,运维大佬给了我自动封禁ip的脚本。
王中阳的博客
12-01 1万+
我的网站被攻击了,发现友圈最近出现这种情况的还不少,真是神奇了,这事也能扎堆发生。分享出来给大家,万一以后用得着呢~
案例四、自动IP和解IP
07-19 419
在运维里,出现最普遍的问题就是网站访问慢甚至访问不到,到服务器上查看得出的结论是,这个网站被CC***了。CC***属于DDos***的一种,**者会利用大量“肉鸡”对***目标的网站发起请求,并且频率很快,这样会导致目标网站的服务器承受不住而瘫痪。CC***虽然看起来跟正常的访问几乎没有什么区别,但如果我们仔细分析访问日志还是可以找到一些线索的,比如某个IP访问频次很高,或...
自动解析IP地址工具
minna_D的专栏
01-23 1653
博客主页:http://blog.csdn.net/minna_d 前言:源于今天想要检测数据包经过那些路由。尽管traceroute 能肉眼看到IP,但我们不知道IP到底代表是在那个地方。 总得把IP地址手动粘贴出来baidu一下.程序完全可以替代这种纯手工操作。 [root@jjy /shell]# cat parseIpLocation.sh #!/bin/bash
someip.lua
最新发布
08-24
someip.lua是一个用于实现SomeIP协议的Lua库。SomeIP(Scalable service-Oriented MiddlewarE over IP)是一种网络协议,用于在车联网和其他嵌入式系统中实现服务和应用之间的通信。该协议提供了一种标准化的通信...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值