2 1 1

cc拦截

已认证 zxcv25
1月前 47

在网络安全领域,DOS(拒绝服务)攻击一直是令人头疼的问题。这类攻击通过大量无用的服务请求拥塞目标系统,导致合法用户无法获得服务。为了有效应对这种攻击,我们需要一种能够自动识别和屏蔽攻击源IP的解决方案。下面,我们就来介绍一个实用的Bash脚本,它能分析Nginx访问日志,自动发现并屏蔽频繁访问的异常IP。


这个脚本首先会获取当前时间,并从Nginx的访问日志中筛选出最近5000条记录。然后,它会检查这些记录中,与当前日期相关且访问次数超过10次的IP地址。这些频繁访问的IP被视为潜在的DOS攻击源。


脚本内容如下:

#!/bin/bash  
DATE=$(date +%d/%b/%Y:%H:%M)  
#nginx日志路径  
LOG_FILE=/usr/local/nginx/logs/demo2.access.log  
#分析ip的访问情况,找出异常IP  
ABNORMAL_IP=$(tail -n5000 $LOG_FILE | grep $DATE | awk '{a[$1]++} END {for(i in a) if(a[i]>10) print i}')  
#对每一个异常IP进行处理  
for IP in $ABNORMAL_IP; do  
    #检查iptables规则中是否已经存在该IP的屏蔽规则  
    if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then  
        #如果没有,则添加屏蔽规则,并记录日志  
        iptables -I INPUT -s $IP -j DROP  
        echo "$(date +'%F_%T') $IP" >> /tmp/drop_ip.log  
    fi  
done


这个脚本的工作原理很简单但非常有效。它首先通过


tail

命令获取Nginx日志文件的最后5000行,然后使用


grep


awk

命令分析这些日志,找出访问频率过高的IP地址。接下来,脚本会检查iptables防火墙规则,看看是否已经屏蔽了这些IP。如果没有,就使用


iptables

命令添加屏蔽规则,并将相关信息记录到


/tmp/drop_ip.log

日志文件中。


通过这种方式,我们可以实现对DOS攻击的快速响应和自动屏蔽,大大提高服务器的安全性。同时,通过查看


/tmp/drop_ip.log

文件,我们还可以追踪到哪些IP地址被屏蔽,这对于后续的安全分析和处理也非常有帮助。


总的来说,这个简单的Bash脚本为我们的服务器安全提供了一层额外的保障。在网络安全日益重要的今天,这种自动化的防御机制无疑是我们抵御DOS攻击的有力武器。


下一篇
无更多文章
最新回复 (2)
  • 已认证 zxcv25 楼主 1月前
    引用 2

    看看

    0
  • 已认证 zxcv25 楼主 1月前
    引用 3

    @zxcv25  ,

    0

请先登录后发表评论!

返回
版块热门
请先登录后发表评论!
2
1