脚本编程

VPS/Linux系统防CC攻击带白名单过滤功能的Shell脚本

Jager · 11月3日 · 2014年 · · · · 494次已读

最新更新:张戈博客已推出功能更强大的轻量级 CC 攻击防御脚本工具 CCKiller==>传送门

根据我个人 VPS 需求,并参考了余洪春前辈的《自动甄别黑白名单的 iptables 安全脚本》,编写如下 Shell 代码。

脚本名称:自动拉黑 CC 攻击者 IP 的 Shell 脚本

功能说明:通过 netstat -an 命令统计出当前请求并发大于 100 的 IP,然后将不在白名单的 IP 自动加入 DROP 规则

使用说明:

①、在 Linux 系统下将以下代码保存为 shell 脚本,比如:deny_ip.sh,并执行 chmod+x deny_ip.sh 加执行权限

#!/bin/bash
#Author:ZhangGe
#Desc:Auto Deny Black_IP Script.
#Date:2014-10-28
#从第一个参数取得限制阈值,如果未设置最高并发,将设置为 100
if [[ -z $1 ]];then
        num=100
else
        num=$1
fi

#进入到脚本所在目录
cd $(cd $(dirname $BASH_SOURCE) && pwd)

#取得当前请求大于阈值$num 的 IP 列表
iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2}}'`

#循环 IP 列表进行筛选和处理
if [[ ! -z $iplist ]];
then
        for black_ip in $iplist
            do
                #取得 IP 所在段
                ip_section=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`
                #先检查白名单中是否存在匹配的 IP 段(为了支持整段 IP 为白名单)
                grep -q $ip_section ./white_ip.txt
                if [[ $? -eq 0 ]];then
                        #若发现 black_ip 和白名单的一个段匹配,则写入到待验证列表,并暂时放过
                        echo $black_ip >>./recheck_ip.txt
                else
                        #若不再白名单当中,则直接将 black_ip 加入到防火墙的 DROP 规则当中,并记录
                        iptables -nL | grep $black_ip || iptables -I INPUT -s $black_ip -j DROP
                        echo $black_ip >>./black_ip.txt
                fi
           done
fi

②、如果有要排除的白名单 IP,需要将这些 IP 加入到脚本同目录的 white_ip.txt 当中,一行一个

③、最后使用 crontab -e 将脚本加入到系统计划任务当中,每五分钟执行一次即可(最后的数值表示最大并发数):

*/5 * * * * /root/deny_ip.sh 150 >dev/null 2>&1

注意事项:

①、该脚本对于使用了百度云加速或 360 网站卫士的网站无效,因为 IP 都已经变成了 CDN 节点了,请勿使用此脚本

②、若不需要支持一个段为白名单,可自行修改 24~27 行的代码,更加准确的对应到每个 IP

③、若发现和白名单同一个段 IP 出现在高并发列表,将不会直接拉黑,而是写入到 recheck_ip.txt,如果有监控信息机制,可以在这个地方加入监控报警,告知管理员这个可疑的 IP

④、脚本都有详细注解,就不罗嗦了,本身也没多做测试,有兴趣的可以看看。

4 条回应
  1. 免费部落 2014-11-4 · 10:07

    以后换VPS再来向博主请教了,另外,有没有好的便宜的VPS啊?

  2. 夏日博客 2014-11-4 · 11:44

    linux的防攻击还是蛮强的。

  3. 小幻 2015-8-29 · 9:15

    白名单能支持ip段吗。

    • avatar
      Jager 2015-8-29 · 13:35

      可以支持IP段,不过只支持一个C段,/24 /25 /26 等。x.x.x.*/x
      最新研究成果,cckiller脚本,还未公布,先给你小白鼠一下,下面是安装方法:

      wget -O install.sh https://zhang.ge/wp-content/uploads/files/cckiller/install.sh?ver=1.0.0 && chmod +x install.sh && ./install.sh

      中式英语提示,自己百度翻译下。