Linux系统运维脚本:如何查看访问我的linux系统的IP地址,并判断是否有网络攻击?

最新推荐文章于 2024-08-01 11:28:05 发布
最新推荐文章于 2024-08-01 11:28:05 发布
阅读量1.1k 收藏 22
点赞数 20
文章标签: 网络 网络抓包 tcpdump crontab linux 网络攻击 timeout
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_70208651/article/details/136664263
版权

目                    录

一、需求

二、解决思路

三、实现方式

1、抓一定数量的数据包

2、抓取1小时的数据包

3、以小时为周期,周期性的执行抓包1小时

4,抓包分析并输出结果

5,周期性分析并输出结果

(1)定时设置

(2)命令部分

一、需求

        如果一个Linux网络主机接收到太多来自某个未知IP地址的数据包,可能涉及多种情况,以下是一些可能的原因:

1、网络扫描或探测

        未知IP地址可能正在进行网络扫描或探测,尝试发现主机上的开放端口和服务。这种活动可能用于后续的恶意攻击,如尝试利用已知的漏洞。

2、拒绝服务攻击(DoS/DDoS)

        大量来自同一未知IP地址的数据包可能是拒绝服务攻击的一部分,旨在耗尽主机的资源(如带宽、CPU或内存),导致服务不可用。

3、误配置或网络故障

        在某些情况下,数据包洪流可能只是由于网络配置错误或故障导致的。例如,网络设备可能错误地将流量路由到目标主机,或者主机可能错误地配置了监听大量不必要的流量。

4、僵尸网络活动

        僵尸网络(Botnet)是由大量被恶意软件感染并受远程控制的计算机组成的网络。这些被感染的计算机可能被用来发动大量针对特定目标的攻击,包括发送大量数据包。

5、正常但由于意外而带来的流量

        在某些情况下,大量来自同一IP地址的数据包可能是正常的活动,但是出现了错误的动作。例如,一个合法的用户或服务可能配置不当,导致生成过多的网络流量。

       总之,出现这种情况,基本上是危险的前兆。那么,我们有没有办法通过命令或者脚本等手段,找到这个问题根源呢?

二、解决思路

       要查看网络情况,首先要进行抓包,然后对抓到的数据包进行分析。比如我们可以用最常见的tcpdump进行抓包,然后通过awk,cut等工具对数据包进行分析,最后把所有发过来的数据包筛选出来,统计IP地址相同的包,并显示出来。因此,可以列出如下步骤:
       1、通过tcpdump抓取一定时间的数据包保存下来;

       2、周期性的执行这个命令;

       3、对抓到的数据包进行分析,主要是对源IP地址这部分进行分析;

       4、统计出源IP地址的数量;

       5、对IP地址数量进行排序。      

三、实现方式

1、抓一定数量的数据包

        抓取1万数据包的命令如下:

tcpdump -c 10000 -i eth0

        实际操作效果如下:

[root@ecs-52a1 121yunwei]# tcpdump -c 10000 -i eth0  >/home/pkts.pcap
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
10000 packets captured
20172 packets received by filter
8890 packets dropped by kernel
[root@ecs-52a1 121yunwei]#
[root@ecs-52a1 121yunwei]#

2、抓取1小时的数据包

        命令如下:

timeout 1h tcpdump -i eth0 -w /home/pkts.pcap

        为了可以周期性的执行,可以把这个命令保存为shell脚本文件,方便调用,如下:

#!/bin/bash 
# capture_packets.sh 
# 定义抓包文件名称(固定不变,以便后续覆盖) 
PCAP_FILE="/home/pkts.pcap " 
# 执行 tcpdump 抓包一个小时,使用 timeout 命令限制时间,并覆盖之前的文件 
timeout 1h tcpdump -w "$PCAP_FILE" -i eth0

3、以小时为周期,周期性的执行抓包1小时

crontab -e

         内容编辑如下:

*/5 * * * * capture_packets.sh

4,抓包分析并输出结果

        采用如下命令分析结果

awk '{print $3}' /home/pkts.pcap | cut -d. -f 1-4 | sort | uniq -c | sort -nk 1

        测试效果如下:

[root@ecs-52a1 121yunwei]#
[root@ecs-52a1 121yunwei]# awk '{print $3}' /home/pkts.pcap | cut -d. -f 1-4 | sort | uniq -c | sort -nk 1
      1
      1 ecs-52a1.45937
      1 ecs-52a1.49669
      1 ecs-52a1.7060
     12 112.86.84.88
     30 ecs-52a1.gbjd816
    324 222.93.149.89
[root@ecs-52a1 121yunwei]#

        根据这个结果,最大的访问量是222.93.149.89过来的访问,只有324个,所以不存在网络攻击。

5,周期性分析并输出结果

        可以生成脚本文件analysis_packets.sh,把命令也写到crontab中,如下

*/5 * * * * capture_packets.sh && sleep 2s && analysis_packets.sh

(1)定时设置

        这个表达式前半部分为定时任务设置,如下:

        */5: 这表示每5分钟执行一次。星号(*)代表任意值,而斜杠(/)后面跟的数字表示间隔。因此,*/5 意味着从0分钟开始,每隔5分钟。

        *: 小时。星号表示“每小时”。

        *: 一个月中的哪一天。星号表示“每天”。

        *: 月份。星号表示“每个月”。

        *: 一周中的哪一天(0代表星期日,1代表星期一,依此类推)。星号表示“每周的每一天”。

        综上,这个定时任务表示:每小时的每5分钟执行后面的命令。

(2)命令部分

       如下为命令部分的解释:

        capture_packets.sh: 这是一个shell脚本,它的功能很可能是捕获网络数据包。

        &&: 这是一个逻辑操作符,表示“如果前一个命令成功执行(返回值为0),则执行后面的命令”。

        sleep 2s: 这个命令会使系统暂停2秒。

        &&: 同上,是逻辑操作符。

        analysis_packets.sh: 这是另一个shell脚本,它的功能可能是分析之前捕获的数据包。

        总结下来,这个 crontab 行的作用是:每小时的每5分钟,执行 capture_packets.sh 脚本捕获数据包,等待2秒,然后执行 analysis_packets.sh 脚本分析数据包。注意,如果 capture_packets.sh 执行失败(返回值不为0),则后续的 sleep 和 analysis_packets.sh 将不会执行。

威迪斯特
关注
Linux的shell脚本实战之检查主机IP是否存在
jks212454的博客
04-29 2429
Linux的shell脚本实战之检查主机IP是否存在
Linux运维实战:CentOS7.6操作系统从入门到精通(1-5)
Lakers2015的博客
11-11 703
1-5章简记
linux的一些命令 -查看cc攻击-网口ip统计等
三人行,必有我师焉。
12-01 2243
Linux判断CC攻击命令详解  2011年12月23日 ⁄ 安全 ⁄ 暂无评论  查看所有80端口的连接数  Java代码   netstat -nat|grep -i '80'|wc -l   对连接的IP按连接数量进行排序      netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -
linux查看攻击者ip
Jingged的博客
03-20 1131
Linux系统中,可以使用多种方法来查看攻击者的IP地址。这些方法可以帮助你识别可疑的网络活动和登录尝试,从而确定攻击者的IP地址。记得根据实际情况选择合适的命令和日志文件。4.查看安全信息和事件日志(如/var/log/auth.log或/var/log/secure)。5.使用fail2ban服务,它可以监视登录尝试并记录IP地址。3.分析网络连接情况,可以使用netstat或ss命令。1.使用last命令查看登录日志,寻找异常的登录尝试。2.使用who命令查看当前登录用户的IP地址
linux查看发起ddos攻击的ip,Linux系统采用netstat命令查看DDOS攻击的方法
weixin_42565652的博客
05-04 456
这篇文章主要为大家介绍了Linux系统采用netstat命令查看DDOS攻击的方法,对于网络安全而言非常重要!需要的朋友可以参考下Linux系统用netstat命令查看DDOS攻击具体命令用法如下:复制代码代码如下:netstat -na显示所有连接到服务器的活跃的网络连接复制代码代码如下:netstat -an | grep :80 | sort只显示连接到80段口的活跃的网络连接,80是htt...
linux网络检测脚本
肖米的博客
03-01 1459
#!/bin/bash #设置全局变量 dev_name="" ip="" # 输出错误信息并且返回错误码 结束脚本执行 exit_str() {     echo $1     exit $2 } # 判断是否有管理员的权限 is_root() {     test $UID -ne 0 && exit_str "请使用sudo运行此脚本!" 1 } #
Linux运维面试题总结—Linux基础、计算机网络基础
qq_50685659的博客
10-22 8133
Linux基础、计算机网络基础
Linux运维技巧进阶:Shell色彩处理与Awk检查服务器是否受到DDOS攻击脚本
通过本文,您将了解到如何优化 Shell 脚本、检测服务器是否受到 DDOS 攻击以及确保操作安全性等方面的内容。 ### 概述 Shell 色彩处理与 Awk 脚本的重要性 在 Linux 系统中,Shell 脚本系统管理和自动化的重要...
linux基线检查脚本.rar
04-08
10. **网络配置**:检查网络接口设置,如IP地址、DNS解析、网络掩码等,确保网络通信安全。 11. **系统安全增强**:可能涉及Grsecurity/PaX等内核安全模块,以及其它安全增强措施。 12. **cron定时任务**:检查...
Linux系统命令大全(超级详细版)
热门推荐
IT小郭的技术博客
01-24 3万+
`Linux` 是免费和开源软件协作最突出的例子之一。任何人都可以根据其各自的许可条款,例如GNU 通用公共许可证(GPL) ,以商业或非商业方式使用、修改和分发源代码。例如,Linux 内核在 GPLv2 下获得许可,但系统调用有一个特殊例外,因为没有系统调用例外,任何调用内核的程序都将被视为衍生程序,因此 GPL 必须适用于该程序。
linux系统的检测脚本,用于检查linux网络配置,包括网络接口状态、IP地址、子网掩码、默认网关、DNS服务器、连通性测试等等
最新发布
weixin_70208651的博客
08-01 1072
一个用于检查Linux网络配置的自动检测脚本,可以涵盖多个方面,如网络接口状态、IP地址、子网掩码、默认网关、DNS服务器等,以及到公网的连通性的测试。脚本的输出可能因系统配置和网络环境而异。脚本中没有包含错误处理逻辑,这在实际应用中可能是必要的。例如,可以添加一些检查来确保命令成功执行,并在失败时给出适当的错误消息。hostname主机名;ip link show 命令获取网络接口信息;awk 过滤掉本地回环接口、虚拟接口、无线接口;从resolv.conf 文件中读取DNS服务器配置。
linux查看发起ddos攻击的ip,Linux系统用netstat命令查看DDOS攻击
weixin_33358099的博客
05-04 443
一些例子和解释netstat -na显示所有连接到服务器的活跃的网络连接netstat -an | grep :80 | sort只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用netstat -n -p|grep SYN_REC | wc -l这个命令对于在服务器上找出活跃的SYNC_REC...
linux查看发起ddos攻击的ip,如何快速查看您的Linux服务器是否遭到某个IP地址的DDoS攻击?...
weixin_31208627的博客
05-04 1540
如果您的数据中心中有Linux服务器,或者将它们托管在云服务器(比如AWS、谷歌云或Azure)上,不能因为您所部署的操作系统就想当然地认为它们是安全的。即使Linux是市面上最安全的操作系统之一,它也并非尽善尽美。实际上,针对该平台的攻击有所增加,随着Linux日渐普及,攻击会愈演愈烈。您在做什么?如果您怀疑其中一台服务器可能遭到了攻击,需要加以检查。怎么检查?我将向您介绍几个命令,可帮助您确定...
Linux系统运维:一个组合命令实现“查看访问某个linux主机的IP地址,看是否有网络攻击
weixin_70208651的博客
03-20 1123
一个Linux网络主机接收到太多来自某个未知IP地址的数据包,可能有如下情况:有人进行网络扫描或探测、发生拒绝服务攻击(DoS/DDoS)、误配置或网络故障、僵尸网络活动、一些意外而带来的流量;出现这种情况,基本上是危险的前兆。我们用netstat组合命令,以及ss命令的组合命令,可以方便实现。组合命令包括awk,cut、sort等等。 可以对数据进行分析,最后筛选数据,统计IP地址相同的IP地址,并按秩序显示出来。
如何检查Linux服务器是否被黑客入侵
2401_84205765的博客
05-16 584
Linux SSH 服务器尤其容易受到网络攻击者的攻击。它们提供远程命令行访问的能力使它们成为控制和管理服务器操作的重要渠道。因此,这种远程访问将它们指定为那些意图利用或损害关键服务的人的宝贵切入点。服务器管理员可以运行更新、应用补丁并使用更少的标准端口来阻止黑客,但如何判断敌人是否已近在眼前?
Linux监测某一时刻对外的IP连接情况
seaship的博客
04-09 1013
netstat -untp |sed ‘1,2 d’|cut -d’:’ --output-delimiter=’ ’ -f1,2,3,4|awk ‘{print $9":"$10"|"$2"|"$3"|"$5"|"$7,$1,$4,$6}’|sort|uniq -c -f1 |sort -nr | cut -d’|’ --output-delimiter=’ ’ -f1,2,3,4,5,6,7,...
linux查看日志过滤ip,linux – DDOS攻击下的服务器 – 如何查找IP
weixin_42126865的博客
05-01 425
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more看一下顶级IP地址.如果有人从其他人中脱颖而出,那些将成为防火墙.netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more这将查看当前活动的连接,以查看是否有任何IP连...
Linux服务器安全基础 - 查看入侵痕迹
dzqxwzoe的博客
06-01 1526
var/log/cron 记录了系统定时任务相关的日志/var/log/dmesg 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息/var/log/secure:记录登录系统存取数据的文件;例如:pop3,ssh,telnet,ftp等都会记录在此./var/log/btmp:记录登录这的信息记录,被编码过,所以必须以last解析;例如:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr。
Linux上找到访问恶意域名的进程方法
weixin_46356409的博客
11-16 602
请注意,这些步骤可能需要根据具体情况进行调整。在进行任何操作之前,请确保充分了解潜在的风险,并遵循最佳实践。如有必要,请寻求专业人士的帮助。如果您发现恶意进程,请立即采取措施隔离受影响的系统,并尽快修复问题。这可能包括关闭相关进程、更新防火墙规则、修复系统漏洞等。对系统进行完整的安全审计,以确保所有恶意活动都已被消除。找到与恶意IP地址相关的连接的进程ID(PID)。在上一步的输出中,您可以找到PID。这将显示与恶意IP地址相关的网络连接。这将显示与指定PID相关的进程信息。这将返回恶意域名的IP地址
250个Shell脚本合集:提升Linux操作与实战技巧
文档中包含了各种实用的脚本示例,如 Dos 攻击防范、Linux系统告警脚本、MySQL数据库备份以及Nginx访问日志按天切割等,适合Linux运维人员和shell编程爱好者学习和实践。" 在深入探讨shell脚本之前,首先要理解什么...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值