欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

拦截相同IP连接数过大的会话请求

来源:本站整理 作者:佚名 时间:2017-06-17 TAG: 我要投稿

为避免Linux主机遭受攻击,需要定时查看主机上的会话连接数。对于同一IP会话数过高的,肯定判断为不正常。可以通过shell脚本定时把不正常的IP加入进防火墙中,来DROP掉它。
[root@host ssh]# vi /etc/ssh/blockip
#!/bin/bash
#auto drop IP ,IP address greater than 10
#by authors evanli 2017-6-15
ip_regex="[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}\.[[:digit:]]{1,3}"
netstat -na --tcp| grep ESTABLISHED | awk '{ if ( index($4,":"'"$port_num"'"") ) print $5}' | awk -F ':' '{print $1}' | sort > /var/log/IPLIST
IP_ADDR=`tail -n 100 /var/log/IPLIST | egrep -o  $ip_regex | sort -nr | uniq -c | awk '$1>=10 {print $2}'`
IPTABLES_CONF=/etc/sysconfig/iptables
for i in `echo $IP_ADDR`
do
        cat $IPTABLES_CONF |grep $i >/dev/null
if
        [ $? -ne 0 ];then
        sed -i "5 a -A INPUT -s $i/32 -j DROP" $IPTABLES_CONF
else
        echo "This is $i is exist in iptables,please exit ....."
fi
done
给脚本可执行权限
[root@host ssh]# chmod +x /etc/ssh/blockip
添加到排程任务,每30分钟执行一次
[root@host ssh]# vi /etc/crontab
*/30 * * * * root /etc/ssh/blockip
脚本说明:
1、首先生成所有连接数IP的文件/var/log/IPLIST
2、在IPLIST文件中统计出现数次大于10的IP。awk '$1>=10 (此10数字可修成你需要的数字)
3、将出现数次大于10的IP加入到防火墙DROP掉。
4、判断防火墙中是否存在该IP,如果有了,出现提示This is IP is exist in iptables,please exit .....
5、vi /etc/sysconfig/iptables 查看DROP掉的IP是否有加入进来。
6、查检没问题,最后需要重起防火墙,设定才会生效。
附件为脚本,可以直接运行
以上脚本测试完成于2017.06.15,by evan.li
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载