云主机测评网云主机测评网云主机测评网

云主机测评网
www.yunzhuji.net

如何利用Shell脚本在Linux系统中自动增强对CC攻击的防御并拉黑恶意IP?

使用Shell脚本实现Linux系统防CC攻击自动拉黑IP增强版。

Linux系统防CC攻击自动拉黑IP增强版(Shell脚本)是一种用于保护服务器免受CC(Challenge Collapsar)攻击的自动化工具,通过监控并发连接数和请求频率,该脚本能够识别出异常流量并自动将发起攻击的IP地址加入黑名单,从而阻止这些IP地址的进一步访问,这种脚本通常结合了网络监控、数据分析和防火墙规则配置等多种技术手段,以实现对CC攻击的有效防御。

核心功能

1、实时监控:脚本会持续监控服务器的网络连接情况,特别是针对HTTP服务的连接请求。

2、并发分析:通过对连接请求的分析,脚本能够计算出每个IP地址的并发连接数,当某个IP地址的并发连接数超过预设的阈值时,脚本会认为该IP地址可能正在发起CC攻击。

3、自动拉黑:对于被识别为攻击源的IP地址,脚本会自动将其加入防火墙的黑名单中,阻止其后续的所有连接请求。

4、日志记录:脚本会记录所有的操作日志,包括哪些IP地址被拉黑、何时被拉黑以及拉黑的原因等,以便管理员进行后续的审计和分析。

5、灵活配置:脚本允许管理员根据实际需求调整并发阈值、黑名单有效期等参数,以实现更精细化的控制。

实现原理

1、获取并发阈值:脚本首先会检查是否传入了并发阈值参数$1,如果留空则默认允许单IP最大50并发。

2、进入脚本工作目录:使用cd $(cd $(dirname $BASH_SOURCE) && pwd)命令巧妙地进入到脚本所在的工作目录。

3、请求检查、判断及拉黑主功能函数:定义一个名为check的函数,用于执行主要的检查、判断和拉黑操作。

4、发邮件函数:定义一个名为sendmsg的函数,用于在检测到攻击时发送邮件通知管理员。

5、间隔循环检查:使用while true循环不断执行check函数,每次检查间隔10秒(可自定义),以实现实时监控。

6、执行脚本:将脚本保存为deny_blackip.sh后,使用nohup ./deny_blackip.sh 50 &命令后台执行脚本(后面的50表示并发数,可自行调整)。

代码示例


#!/bin/bash
#Author:ZhangGe
#Desc:Auto Deny Black_IP Script.
#Date:20141105
if [[ z $1 ]];then
    num=50
else
    num=$1
fi
cd $(cd $(dirname $BASH_SOURCE) && pwd)
function check() {
    iplist=netstat an | grep ^tcp.*:80 | egrep v 'LISTEN|127.0.0.1' | awk F"[ ]+|[:]" '{print $6}' | sort | uniq c | sort rn | awk v str=$num '{if ($1>str){print $2}}'
    if [[ ! z $iplist ]]; then
        > ./iplist/black_ip.txt
        for black_ip in $iplist
        do
            #白名单过滤中已取消IP段的判断功能,可根据需要自行修改以下代码(请参考前天写的脚本)
            #exclude_ip=echo $black_ip | awk F"." '{print $1"."$2"."$3}'
            #grep q $exclude_ip ./white_ip.txt
            grep q $black_ip ./white_ip.txt
            if [[ $? eq 0 ]];then
                echo "$black_ip (white_ip)" >> ./iplist/black_ip.txt
            else
                echo $black_ip >> ./iplist/black_ip.txt
                iptables nL | grep $black_ip || (iptables I INPUT s $black_ip j DROP & echo "$black_ipdate +%Y%m%H:%M:%S">>./iplist/denylog.txt & echo 1 > ./sendmail)
            fi
        done
        if [[cat ./sendmail == 1 ]];then sendmsg;fi
    fi
}
function sendmsg() {
    netstat nutlp | grep "sendmail" >/dev/null 2>&1 || /etc/init.d/sendmail start >/dev/null 2>&1
    echo e "From: 发邮件地址@qq.com
To:收邮件地址@qq.com
Subject:Someone Attacking your system!!
Its Ip is" > ./message
    cat ./iplist/black_ip.txt >> ./message
    /usr/sbin/sendmail f 发邮件地址@qq.com t 收邮件地址@qq.com i < ./message > ./sendmail
}
while true
do
    check
    sleep 10
done

FAQs

问题1:如何调整脚本的并发阈值?

解答:在执行脚本时,可以通过传入参数来调整并发阈值,如果要将并发阈值调整为80,可以使用命令nohup ./deny_blackip.sh 80 &来执行脚本。

问题2:脚本如何实现自动发送邮件通知?

解答:脚本中定义了一个名为sendmsg的函数,用于发送邮件通知,当检测到攻击时(即存在并发超过阈值的单IP),脚本会调用此函数来发送邮件,邮件内容包含攻击者的IP地址等信息,在脚本中,需要将“发邮件地址@qq.com”和“收邮件地址@qq.com”替换为实际的发件人和收件人邮箱地址。

打赏
版权声明:主机测评不销售、不代购、不提供任何支持,仅分享信息/测评(有时效性),自行辨别,请遵纪守法文明上网。
文章名称:《如何利用Shell脚本在Linux系统中自动增强对CC攻击的防御并拉黑恶意IP?》
文章链接:https://www.yunzhuji.net/internet/224598.html

评论

  • 验证码