Linux Shell脚本联动iptables实现DOS防护

最新推荐文章于 2023-12-29 14:46:22 发布
最新推荐文章于 2023-12-29 14:46:22 发布
阅读量746 收藏 5
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29974229/article/details/119731310
版权

DOS攻击 iptables 防护脚本 并发连接 网络监控
关键词由CSDN通过智能技术生成

解决DOS攻击生产案例:根据web日志或者或者网络连接数,监控当某个IP 并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频 率每隔5分钟。防火墙命令为:iptables -A INPUT -s IP -j REJECT

1 实验准备

1.1 攻击服务器环境准备

[root@localhost ~]# yum install hping3 -y

1.2 受攻击服务器环境准备

[13:42:52 root@centos8 ~]#yum install tcpdump httpd -y
[13:42:52 root@centos8 ~]#systemctl enable --now httpd

此时158上的80端口可以正常被访问.
在这里插入图片描述

2 实验开始

2.1 DOS攻击

对192.168.31.158进行

[14:10:14 root@centos8 ~]#hping3 -c 15000 -d 150 -S -w 64 -p 80 --flood 192.168.31.158
HPING 192.168.31.158 (ens33 192.168.31.158): S set, 40 headers + 150 data bytes
hping in flood mode, no replies will be shown

158上使用tcpdump可以看到大量来自157的请求

[root@localhost ~]# tcpdump src host 192.168.31.157

在这里插入图片描述

此时由于洪水攻击,造成网页无法访问
在这里插入图片描述
在158上可以看到有大量来自157的SYN-RECV连接
考虑到可能存在其他类型的攻击(比如ESTAB),就不用SYN-RECV进行过滤
在这里插入图片描述

2.2 获取IP信息

通过awk过滤后取到该列

ss -ano|awk '{print $6}'

在这里插入图片描述
再使用正则匹配到该列中的IP地址

ss -ano|awk '{print $6}'|grep -Eo "([0-9]{1,3}\.){3}[0-9]+"

在这里插入图片描述
再将这些ip进行排序

ss -ano|awk '{print $6}'|grep -Eo "([0-9]{1,3}\.){3}[0-9]+"|sort|uniq -c

在这里插入图片描述
最后再从多到少再次排序,这样获得了以下的结果
在这里插入图片描述

3 脚本编写

3.1 伪代码

1.监控当某个IP 并发连接数或者短时内PV达到100时

如果 某个IP的数量 -gt 100;那么执行
iptable 把对应的$IP加入到禁止访问列表中
否则 什么都不做.

2.代码每5分钟执行1次.用crontab实现

*/5 * * * * /data/scripts/flood_check.sh

3.2 伪代码进一步实现

3.2.1 取出与本机连接的IP并列出有多少个连接

ss -ano|awk '{print $6}'|grep -Eo "([0-9]{1,3}\.){3}[0-9]+"|sort|uniq -c|sort -r

3.2.2 按行取出每行内容

while read line

这样读出每行的内容为
100______192.168.31.157
数字______IP

3.2.3 判断IP出现的次数

再通过awk取到$1的数字部分,并对其进行判断

if [ `echo $line|awk '{print $1}'` -gt 10 ];then

3.2.4 拼接iptables规则

通过命令拼接实现了将大于10个连接的ip加入到iptables的input链并禁止访问

iptables -AINPUT -s `echo $line|awk '{print $2}'` -j REJECT;

3.3 半成品代码

#!/bin/bash
ss -ano|awk '{print $6}'|grep -Eo "([0-9]{1,3}\.){3}[0-9]+"|sort|uniq -c|sort -r |while read line;do
	if [ `echo $line|awk '{print $1}'` -gt 10 ];then
		iptables -AINPUT -s `echo $line|awk '{print $2}'` -j REJECT;
	fi;
done

3.4 测试脚本

执行脚本前
在这里插入图片描述
执行脚本后
在这里插入图片描述

3.5 新问题

此时发现即便这个IP已经被禁止,由于禁止到完全断开需要一段时间,而此段时间内该IP会被重复添加,最终可能引起INPUT链过大不好管理
在这里插入图片描述

4 完善脚本

4.1 新增自定义链

iptables -N FLOOD_REJECT

判断iptables 有没有FLOOD_REJECT自定义证书链,如果没有则新建一个

iptables -L FLOOD_REJECT|grep -o FLOOD_REJECT  &>/dev/null;[ $? -eq 0 ]|| iptables -N FLOOD_REJECT

判断是否将自定义证书链FLOOD_REJECT应用到INPUT链上,如果没有则关联

iptables -L INPUT|grep -o FLOOD_REJECT  &>/dev/null;[ $? -eq 0 ]||iptables -IINPUT -j FLOOD_REJECT

将原来直接写入INPUT链的信息写入FLOOD_REJECT链

	IP=`echo $line|awk '{print $2}'`
	iptables -vnL FLOOD_REJECT|grep -o $IP &>/dev/null;[ $? -eq 0 ] || iptables -AFLOOD_REJECT -s $IP -j REJECT;

4.2 完善后的脚本

#!/bin/bash
iptables -L FLOOD_REJECT|grep -o FLOOD_REJECT &>/dev/null;[ $? -eq 0 ]|| iptables -N FLOOD_REJECT
iptables -L INPUT|grep -o FLOOD_REJECT &>/dev/null;[ $? -eq 0 ]||iptables -IINPUT -j FLOOD_REJECT
ss -ano|awk '{print $6}'|grep -Eo "([0-9]{1,3}\.){3}[0-9]+"|sort|uniq -c|sort -r |while read line;do
	if [ `echo $line|awk '{print $1}'` -gt 10 ];then
		IP=`echo $line|awk '{print $2}'`
		iptables -vnL FLOOD_REJECT|grep -o $IP &>/dev/null;[ $? -eq 0 ] || iptables -AFLOOD_REJECT -s $IP -j REJECT;
	fi;
done

现在不管短时间内脚本被执行几遍都不会再重复添加了
在这里插入图片描述

5 crontab添加

要求是每5分钟检查一次

[root@localhost ~]# crontab -e

*/5 * * * * /data/scripts/flood_check.sh

在这里插入图片描述

上海运维Q先生
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables netstat 防御简单dos攻击
centos的博客
10-18 891
DoS攻击或者DDoS攻击是试图让机器或者网络资源不可用的攻击。这种攻击的攻击目标网站或者服务通常是托管在高防服务器比如银行,信用卡支付网管,甚至根域名服务器,DOS攻击的实施通常迫使目标重启计算机或者消耗资源,使他们不再提供服务或者妨碍用户,访客访问。 在这篇小文章中,你可以知道在受到攻击之后如何在终端中使用netstat命令检查你的服务器。 一些例子和解释 netstat -na
linux搭建ddos发包机脚本_Linux下DDOS简单防御shell脚本
weixin_39707725的博客
12-30 4279
Linux下DDOS简单防御shell脚本注意:网站如果使用CDN的话,不可用这个,不然当网站IP连接数过高,会把CDN的IP拉黑连接数限制为200,需要添加crontab定时任务,脚本10S运行一次,iptables每小时flush一次,并且会发送到你的邮箱.这个脚本检测的是80/443端口,如有其他需要,可以更改前两行grep -E "XXXX"规则运行日志保存到run.log,黑名单保存在b...
netstat和ss的一些网络命令
第一天
08-29 347
netstat 命令 netstat -tlpn [root@cloud ~]# netstat -tlpn Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name ...
linux tcp状态统计
日积月累一点点
07-24 495
通过netstat获取: netstat -n | awk ‘/^tcp/ {++state[$NF]} END {for(key in state) print key,"\t",state[key]}’ 通过ss获取: ss -ano | awk ‘/^tcp/ {++state[$2]} END {for(key in state) print key,"\t",state[key]}’ ...
iptables防火墙规则
最新发布
XMYX-0
12-29 1011
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
iptables 防止DoS攻击
weixin_30640291的博客
07-14 393
SYN洪水是攻击者发送海量的SYN请求到目标服务器上的一种DoS攻击方法,下面的脚本用于预防轻量级的DoS攻击:ipt-tcp.sh: iptables -N syn-flood (如果您的防火墙默认配置有“ :syn-flood - [0:0] ”则不许要该项,因为重复了) iptables -A INPUT -p tcp --syn -j syn-flood iptables ...
Shell脚本实现监控iptables运行状态
09-15
主要介绍了Shell脚本实现监控iptables运行状态,本文直接给出实现代码,需要的朋友可以参考下
shell脚本结合iptables防端口扫描的实现
09-15
主要介绍了shell脚本结合iptables防端口扫描的实现,中间使用了inotify-tools工具,需要的朋友可以参考下
Shell实现iptables管理脚本分享
09-15
主要介绍了Shell实现iptables管理脚本分享,本文脚本实现了添加、删除、查看、停止、启动等,需要的朋友可以参考下
Shell脚本实现监控iptables规则是否被修改
09-15
主要介绍了Shell脚本实现监控iptables规则是否被修改,本文直接给出实现代码,需要的朋友可以参考下
Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
无糖可乐没有灵魂
07-28 1314
【代码】Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 652
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
linux iptables 脚本
yanhui007的专栏
05-11 668
#!/bin/sh # # iptables Start iptables firewall # # chkconfig: 2345 08 92 # description: Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables # config: /etc/sysconfig/iptables-config # ### BEGIN INIT INFO # Provides: iptables ...
Shell防火墙——iptables
Jahony的博客
05-24 398
Shell防火墙——iptablesLinux包过滤防火墙概述netfilteriptables四表五链四表五链规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法注意事项常用的控制类型常用的管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配隐含匹配端口匹配:–sport 源端口、–dport 目的端口TCP标记匹配: --tcp-flags TCP标记ICMP类型匹配: --icmp-
超详细的iptables脚本
m0_55877125的博客
05-24 381
这个脚本在比较详细地介绍了如何在 iptables 中设置和应用各种规则,包括默认的策略、回环接口、已建立相关连接、HTTP/HTTPS/SSH等协议和端口、SYN Flood攻击、本地网络、邮件服务、DNS服务、FTP服务、MySQL服务、NTP、SNMP和ICMP协议包等。大家可以结合自己的实际需求进行修改和使用。
linux iptables 脚本,Linux实用iptables脚本
weixin_35792040的博客
05-05 273
有一段时间木有回来写博客了,最近比较忙又或者是本人不是太习惯写作,这次趁着空闲特上来写一次博客,这次回来主要是这段时间要弄一些基本的防御,能抵御轻量级的***,所以特写个iptables脚本,如有不好的地方,见谅,不废话了,直接上代码:#!/bin/bash##适用于Web等服务的Linuxiptables防火墙脚本。#根据网上的一些脚本整理而来###注意1:该脚本需要根据实际情况修改后...
iptables防火墙
ynyysn的博客
02-17 2012
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
xshell链接linux问题
韩帅平的博客
04-01 642
若连接不成功,可能是防火墙未关闭。service iptables status:查看防火墙的运行状态。serviced iptables stop:关闭防火墙。vim /etc/ssh/sshd_config:进入可设置防火墙开机自动关闭。输入命令:service sshd restart  重启SSH服务。命令:service sshd start 启动服务 |  命令:service ssh...
linux防火墙shell脚本,linux中使用shell脚本配置iptables防火墙
weixin_42099755的博客
04-30 683
要放假了,今天实在是闲得蛋疼,本来只想写个配置iptables脚本的,没想到被自己搞得这么复杂了,还是分享出来给大家,有兴趣的可以自己再改改.ps:本脚本只支持centos5和centos6,不支持centos 7,并且在脚本里也限制了.脚本内容:#!/bin/sh# By rocdk890PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/us...
Linux iptables防火墙设置教程:实现网络安全防护
"iptablesLinux系统中一种广泛使用的网络包过滤防火墙工具,它属于早期的封包过滤式防火墙技术,基于TCP/IP协议栈中的IP层,通过检查每个IP数据包的头部信息来决定是否允许其通过。封包过滤器的核心功能包括检查源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值