點評:Shell腳本防攻擊平時最好別碰到啊.碰到的話按今天說的方法做吧
不知道得罪瞭哪路神仙,收到nagios報警,發現有個網站有CC攻擊。看樣子,量還不小,把服務器的負載都弄到40+瞭,雖然網站還能打開,但打開也是非常的緩慢。如果不是配置高點,估計服務器早就掛掉瞭。看來又是不一個不眠之夜瞭。
迅速查看一下nginx的訪問日志:
#tail -f access.log
貌似全是像這樣的狀態。
我先緊急手動封瞭幾個訪問量比較大的Ip。
#iptables -A INPUT -s 83.187.133.58 -j DROP
#iptables -A INPUT -s 80.171.24.172 -j DROP
……
緊急封 瞭幾個ip後,負載降瞭一些瞭,網站訪問速度有所提升瞭,但是不一會,又來瞭一批新的Ip, 受不瞭瞭,看來要出絕招瞭。寫瞭shell腳本,讓他逮著瞭,就封。發現他攻擊的狀態都相同,每一個攻擊ip後面都有HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段,那我們就來搜這個字段。
#vim fengip.sh
#! /bin/bash
for i in `seq 1 32400`
do
sleep 1
x=`tail -500 access.log |grep ‘HTTP/1.1" 499 0 "-" "Opera/9.02’|awk ‘{print $1}’|sort -n|uniq`
if [ -z "$x" ];then
echo "kong" >>/dev/null
else
for ip in `echo $x`
do
real=`grep -l ^$ip$ all`
if [ $? -eq 1 ];then
echo iptables -A INPUT -s $ip -p tcp –dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp –dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本寫好瞭。
如圖
我們來運行一下,運行幾分鐘後,如下圖所示
經過半個小時的觀察,服務器負載也降到0.幾瞭,腳本也不斷在封一些CC攻擊的ip。 一直讓他運行著,晚上應該能睡個好覺瞭。
下來我們來對腳本進行解釋一下。
#vim fengip.sh
#! /bin/bash
Touch all #建立all文件,後面有用到
for i in `seq 1 32400` #循環32400次,預計到早上9點的時間
do
sleep 1
x=`tail -500 access.log |grep ‘HTTP/1.1" 499 0 "-" "Opera/9.02’|awk ‘{print $1}’|sort -n|uniq` #查看最後500行的訪問日志,取出包含’HTTP/1.1" 499 0 "-" "Opera/9.02’ 的行的ip並排序,去重復
if [ -z "$x" ];then
echo "kong" >>/dev/null #如果$x是空值的話,就不執行操作,說明500行內,沒有帶’HTTP/1.1" 499 0 "-" "Opera/9.02′ 的行 www.jb51.net
else
for ip in `echo $x` #如果有的話,我們就遍歷這些ip
do
real=`grep -l ^$ip$ all` #查看all文件裡有沒有這個ip,因為每封一次,後面都會把這個ip寫入all文件,如果all文件裡面有這個ip的話,說明防火墻已經封過瞭。
if [ $? -eq 1 ];then #如果上面執行不成功的話,也就是在all文件裡沒找到,就用下面的防火墻語句把ip封掉,並把ip寫入all文件
echo iptables -A INPUT -s $ip -p tcp –dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp –dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本很簡單,大牛略過啊。。。