本脚本学习与阿铭的脚本课程。
用于防止公司网站被DDos攻击时,封禁“”肉机“” 的IP地址。
共分为以下步骤:
1、每分钟分析一次访问日志/data/logs/access_log。
2、把访问量超过100的IP给封掉。
3、将封过的IP地址全部记录到一个日志log中。
4、每隔一段时间检查一次被封的IP,将不在超过100的访问的IP解封。
5、解封的IP记录到另外的日志中。
#!/bin/bash
#用途:防止DDos攻击,将访问量超过100的IP地址禁掉
#作者:Caron maktini
#日期:2018年10月17日
#版本:v0.1
t1='date -d "-1 min " +%Y:%H:%M'
log=/data/logs/access_log
block_ip()
{
egrep "$t1:[0-5]+ " ¥log > /tmp/tmp_last_min.log
#把一分钟内访问量高于100的ip地址记录到一个临时文件中。
awk '{print $1}' /tmp/_last_min.log | sore -n | uniq -c | awk '$1>100 {print $2}' > /tmp/bad_ip.list
#计算ip的数量
n=`wc -l /tmp/bad_ip.list | awk '{print $1}'`
#当ip数大于0时,才会用iptables封掉。
if [ $n -ne 0 ]
then
for ip in `cat /tmp/bad_ip.list`
do
iptables -I INPUT -s $ip -j REJCT
done
#将这些被封的ip记录到日志里
echo "`date` 封掉的ip有: " >> /tmp/black_ip.log
echo /tmp/bad_ip.list >> /tmp/black_ip.log
fi
}
unblock_ip ()
{
#首先将包括个数小于5的ip记录到一个临时文件里,把它们标记为白名单IP
iptables -nvL INPUT | sed '1d' | awk '$1<5 {print $8}' > /tmp/good_ip.list
n=`wc -l /tmp/good_ip.list | awk '{print $1}'`
if [ $n -ne 0 ]
then
for ip in `cat /tmp/good_ip.list`
do
iptables -D INPUT -s $ip -j REJECT
done
echo "`date` 解封的ip有:" >> /tmp/unblock_ip.log
cat /tmp/good_ip.list >> /tmp/unblock_ip.log
fi
#当解封完白名单ip后,将计数清零,进入下一个计数周期
iptables -Z
}
#取当前时间的分钟数
t=`date +%M`
#当分钟数内为00或者30时(即每隔30分钟),执行解封ip的函数,其他时间执行解封ip的函数。
if [ $t == "00" ] || [ $t == "30" ]
then
unblock_ip
block_ip
else
block_ip
fi
