导读
在计算机科学中,
俗称壳(用来区别于核),是指“为使用者提供操作界面”的软件(
解析器);它类似于DOS下的command.com和后来的cmd.exe;它接收用户
,然后调用相应的应用程序。
根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP,监控频率每隔3分钟。
防火墙命令为:
iptables -I INPUT -s 10.0.0.10 -j DROP
先来Web日志
开发思路分析:
1、分析出IP地址,然后去重,搞定各个IP的访问次数,可以放到文件里。
[root@oldboy scripts]# awk '{print $1}' access_2010-12-8.log|sort|uniq -c|sort -rn|head
35 59.33.26.105
23 123.122.65.226
8 124.115.4.18
[root@oldboy scripts]# awk '{S[$1]++}END{for(k in S) print S[k],k}' access_2010-12-8.log|sort -rn|head
35 59.33.26.105
23 123.122.65.226
8 124.115.4.18
IP的访问次数到100,就封掉
需要if条件句
读1的去重结果文件,可用while
最终答案
[root@oldboy scripts]# cat exam05.sh
#!/bin/bash
while true
do
awk '{S[$1]++}END{for(k in S) print S[k],k}' access_2010-12-8.log|sort -rn|head >/tmp/ip.log
while read line
do
ip=`echo $line|awk '{print $2}'`
count=`echo $line|awk '{print $1}'`
if [ $count -ge 36 -a `grep -w "$ip" /tmp/drop_$(date +%F).ip|wc -l` -lt 1 ]
then
iptables -I INPUT -s $ip -j DROP &&
echo -e "$ipt `date +%F`" >>/tmp/drop_$(date +%F).ip
fi
done /tmp/ip.log
sleep 5
done
如果是网络日志
从生产环境拉取netstat.log测试
[root@oldboy scripts]# awk -F "[ :]+" '/EST.*$/{print $(NF-3)}' netstat.log |awk '{S[$1]++}END{for(k in S)print S[k],k}'|sort -rn|head
4 118.242.18.177
3 123.6.8.223
3 114.250.252.127
2 123.244.104.42
2 121.204.108.160
1 59.53.166.165
1 58.45.107.189
1 42.95.73.152
1 42.196.246.180
1 36.46.160.100
如果是工作中可以netstat -an|awk -F "[ :]+" '/EST.*$/{print $(NF-3)}'分析
最终答案
[root@oldboy scripts]# cat exam05.sh
#!/bin/bash
while true
do
awk -F "[ :]+" '/EST.*$/{print $(NF-3)}' netstat.log |awk '{S[$1]++}END{for(k in S)print S[k],k}'|sort -rn|head >/tmp/ip.log
while read line
do
ip=`echo $line|awk '{print $2}'`
count=`echo $line|awk '{print $1}'`
if [ $count -ge 36 -a `grep -w "$ip" /tmp/drop_$(date +%F).ip|wc -l` -lt 1 ]
then
iptables -I INPUT -s $ip -j DROP &&
echo -e "$ipt `date +%F`" >>/tmp/drop_$(date +%F).ip
fi
done /tmp/ip.log
sleep 5
done
884
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
