1 iptables自动屏蔽访问网站频繁的IP
场景:恶意访问,安全防范
1)屏蔽每分钟访问超过200的IP
方法1 :根据访问日志(Nginx为例)
#!/bin/bash
DATE = $(date +%d/%b/%Y:%H:%M)
ABNORMAL_IP = $(tail -n5000 access.log | grep $DATE | awk '{a[$1]++}END{for(i in a)if(a[i]>100)print i}')
#先tail 访问 文件过大,读取慢,数字可调整每分钟最大的访问量。awk不能直接过滤日志,因为包含特殊字符
for IP in $ABNORMAL_IP; do
if [ $(iptables -vnL | grep -c "$IP") -eq 0 ];then
iptables -I INPUT -s $IP -j DROP
if
done
方法2:通过TCP建立的连接
#!/bin/bash
ABNORMAL_IP = $(netstat -an | awk '$4~/:80$/ && $6~/ESTABLISHED/{gsub(/:[0-9]+/,"",$5);{a[$5]++}}END{for(i in a)if(a[i]>100)print i}')
#gsub是将第五列(客户端IP)的冒号和端口去掉
for IP in $ABNORMAL_IP ; do
if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then
iptables -I INPUT -s $IP -j DROP
if
done
2)屏蔽每分钟SSH尝试登录超过10次的IP
方法1:通过lastb获取登录状态
#!/bin/bash
DATE = $(date +"%a %b %e %H:%M") #星期月天时分, %e单数字时显示7,而%d显示07
ABNORMAL_IP = $IP(lastb | grep "DATE" | awk '{a[$3]++}END{for(i in a)if(a[i]>10)print i}')
for IP in $ABNORMAL_IP ; do
if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then
iptables -I INPUT -s $IP -j DROP
if
done
方法2:通过日志获取登录状态
#!/bin/bash
DATE = $(date +"%b %d %H")
ABNORMAL_IP = "$(tail -n10000 /var/log/auth.log | grep "$DATE " | awk '/Failed/{a[$(NF-3)]++}END{for(i in a)if(a[1]>5)print j}')"
for IP in $ABNORMAL_IP ; do
if [ $(iptables -vnL | grep -c "$IP") -eq 0 ];then
iptables -A INPUT -s $IP -j DROP
echo "$(date +%F %T) - iptables -A INPUT -s $IP -j DROP" >>~/ssh-login-limit.log
fi
done
2 判断用户输入的是否为IP地址
#!/bin/bash
function check_ip(){
local IP = $1