linux把ip加入黑名单,Linux防火墙(iptables)之黑名单

最新推荐文章于 2024-07-24 14:19:38 发布
最新推荐文章于 2024-07-24 14:19:38 发布
阅读量2.2k 收藏
点赞数
文章标签: linux把ip加入黑名单

b221b790cb1e

防火墙

再来说说今天的主题,黑名单。

第一阶段:发现

有一天发现 服务器的 /var/log/btmp文件有点大,所以搜索了一下

/var/log/btmp这个文件记录错误的登录尝试,执行lastb命令就可以查看到最后一个不成功的登录尝试.

如果文件太大可删除了再重新生成一个新的空文件。

得到了一个lastb命令,发现大量的ssh登录信息,多的令人发指。好吧,让我来分析一下哪些IP次数最多

#存文件便于以下的操作

lastb >> lastb.log

#过滤其它字段,只保留ip数据

cat lastb.log|awk -F " " '{print $3}' >> ips.log

#记录ip的出现次数

cat ips.log | sort | uniq -c >> ip_uniq.log

#最终形成列表

cat ip_uniq.log|sort -k1,1nr >> output.log

有些同学说分段的命令完全可以合成一个嘛,使用高大上的管道符号。是的,形成一条命令即:

lastb | awk -F " " '{print $3}' | sort | uniq -c | sort -k1,1nr >> output.log

现在output.log的内容如下图

b221b790cb1e

暴光它

到此第一阶段完成,我知道了哪些IP曾对我的服务器进行过疯狂的访问。下一部就是写到iptables的黑名单中。

第二阶段:处理

挑选请求次数超过5次的,大概有1000来条。

问题来了,我需要一条一条加到iptables吗? 答案是肯定的,肯定不是了。 今天我所遇到的问题,所能想到的方案,几乎前辈们已经都已经实践过了。

神器登场: ipset,非自带,请用yum install ipset安装

简单讲一下 ipset 的使用

#创建一个名称为 blacklist 的IP集合,最大容量为10000

ipset create blacklist hash:ip maxelem 100000

#查看你的IP集

ipset list

#增加ip

ipset add blacklist 1.1.1.1

#再次查看IP集

ipset list

b221b790cb1e

ipset list结果

好的, ipset基本使用已经初见。现在将刚才的恶意IP导入到ipset中

#方法有点蹩脚

grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' output.log | awk '{print "ipset add blacklist",$0}'|sh

最后呢,将ipset与iptables关联即可

iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

/etc/init.d/iptables save

屏蔽后再尝试ssh连接服务器,结果就如下图,嗯 ,是的,结束。

b221b790cb1e

ssh尝试登录

第三阶段:扩展

比本文针对性强,同时给出了iblocklist,这个网站已搜集了大量的恶意IP,可以拿使用来,这才是生产生。

李淳风的谜底
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux下shell处理nginx日志自动生成ip黑名单
01-20
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写入文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | head -n 10 >>/PATH/ip10-$data.txt ##blackip.sh 判断ip访问次数是否超过限定值,是就加入黑名单中 #!/bin/bash #获取当前日期 data=`date +%Y-%m-%d` #blacklist目录要自己生成,
使用iptables拒绝恶意攻击
Steven的博客
10-11 1233
平时在家需要远程维护的时候我都是通过公司的跳板机连接回公司。公司使用的是固定IP,我在公司的VPN上做了一个端口映射,使用ssh远程过去。昨天学习了使用lastb去查看失败的登录,然后到公司的跳板机上去运行lastb,我了个去,里面记录了三个IP登录失败的信息,其中有一个IP 一个下午失败了1230次 运行命令: lastb |awk '{print $3,$5,$6}'|sort|grep '^
Liunx设定白名单黑名单,限制IP访问
gaozhonghua12的专栏
05-22 830
【代码】Liunx设定白名单黑名单,限制IP访问。
查看失败的ip,并将ip追加到黑名单
点赞不迷路
04-20 590
【代码】查看失败的ip,并将ip追加到黑名单
Linux添加IP黑名单
小树苗
05-07 6531
防攻击可以增加IP白名单/etc/hosts.allow和黑名单/etc/hosts.deny 修改/etc/hosts.allow文件 # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the ‘/usr/sbin/tcpd’ server. # sshd:210.13.218.*:allow sshd:2
linux防火墙iptables
x74188的博客
08-20 1946
ptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。五表的优先级(高->低):security -->raw-->mangle-->nat-->filter。不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更高。RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系。转发:PREROUTING --> FORWARD --> POSTROUTING。
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
ipset-blocklist:在Linux服务器上使用iptables实施CleanTalk黑名单的Shell应用程序
04-09
Linux服务器上使用iptables实施CleanTalk黑名单的Shell应用程序。 CleanTalk提供对垃圾邮件IP数据库的访问。 您可以使用IPset格式自动更新Iptables或FirewallD防火墙中的数据。 您可以在此处查看如何将CleanTalk ...
linux利用CSF防火墙屏蔽恶意请求
01-20
之前的方法已经没有用了,想了半天还是研究研究防火墙吧,虽然仅仅靠Apache也能对某些IP进行黑名单设置,但是感觉还是有点麻烦的。比如最常见的用iptables,或者是ufw,虽然都能很好的做到管理,但是他们基本都需要...
设计linux平台上的垃圾邮件过滤器.pdf
09-06
- **黑名单与白名单**:白名单允许已知安全来源的邮件通过,黑名单阻止已知垃圾源的邮件,有助于减少误判。 - **基于规则的过滤**:设置IP连接限制、抄送人数等规则,防止垃圾邮件大规模发送。 3. **Linux平台的...
linux-DoSDeflate是一个轻量级的bashshell脚本旨在协助阻止拒绝服务攻击的过程
08-13
4. **响应策略**:根据设定的策略,可以将这些IP添加到防火墙黑名单(如`iptables`的`DROP`规则),阻止其进一步的连接尝试。 5. **日志记录**:记录所有操作以便后续分析和审计。 在实际使用中,Linux DoS Deflate...
Linux黑白名单功能
ywtool博客
02-05 1927
linux运维工具-ywtool access命令介绍
Linux系统将某ip拉入黑名单
最新发布
weixin_46084533的博客
07-24 718
Linux系统中,如果您想将某个IP地址(例如)拉入黑名单,可以使用iptables或firewalld。下面分别介绍这两种方法。
linux防火墙ip黑名单,【转】Linux防火墙(iptables)之黑名单
weixin_42468901的博客
05-07 2451
iptables删除规则So if you would like to delete second rule :iptables -D INPUT 2------------------------------如果你愿意,你可以保存特定的IP集到一个文件中,以后可以从文件中还原:ipset save banlist -f banlist.txtipset destroy banlistipset ...
Linux通过黑、白名单限制IP登录
sjh98的博客
01-26 4581
查看允许登录的IP地址 cat /etc/hosts.allow 修改允许登录的IP地址 vi /etc/hosts.allow 进入编辑模式后,添加允许登录的IP或网段即可 如:sshd: 10.148.0.106 查看限制登录的IP地址 cat /etc/hosts.deny 修改允许登录的IP地址 vi /etc/hosts.deny 进入编辑模式后,添加需要限制的IP或网段即可 如:sshd: 10.148.0.106 允许或限制所有IP访问 当我们
linux定时shell处理nginx日志自动配置ip黑名单
weixin_47136046的博客
10-29 802
这几天每天访问量一台ip居然可以到1000W,把我服务器撑爆了,所以做了个自动加ip黑名单的定时任务脚本。 首先配置一个shell脚本 addblackip.sh #!/bin/sh #是否需要reload nginx needRefresh=false #把黑名单的配置文件读取一下 blackFile=/xxx/nginx/blockips.conf blackIp=`cat $blackFile` #把nginx的访问日志读取汇总统计倒序排列,并且只拿访问量大于5W的数据 #awk针对32位的linux
Linux安全之iptables黑白名单
mengmeng_921的博客
09-14 1612
既将 INPUT 链的默认策略设置为了 ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了 iptables -F 操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是 ACCEPT。转载文章链接: https://www.escapelife.site/posts/39bc1a0b.html。我们就来做一个简单的白名单,只放行被规则匹配到的报文,其他报文一律拒绝。
nginx环境安装配置fail2ban屏蔽攻击ip
weixin_34395205的博客
12-11 1131
  安装 fail2ban   yum install -y epel-release yum install -y fail2ban 设置 Nginx 的访问日志格式  这个是设置 fail2ban 封禁的关键因素   log_format main '$remote_addr $status $request $body_bytes_sent [$time_local] $ht...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值