Categories

Tags

Linux服务器 屏蔽国外IP访问及简单的防CC攻击拦截

屏蔽国外IP访问

通过ssh远程登录服务器内,运行如下命令语句获取国内IP网段,会保存为/root/china_ssr.txt

wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt

将下面脚本保存为/root/allcn.sh ,并设置可执行权限( 命令: chmod +x  allcn.sh)

mmode=$1

CNIP="/root/china_ssr.txt"

gen_iplist() {

cat <<-EOF

$(cat ${CNIP:=/dev/null} 2>/dev/null)

EOF

}

flush_r() {

iptables  -F ALLCNRULE 2>/dev/null

iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null

iptables  -X ALLCNRULE 2>/dev/null

ipset -X allcn 2>/dev/null

}

mstart() {

ipset create allcn hash:net 2>/dev/null

ipset -! -R <<-EOF

$(gen_iplist | sed -e "s/^/add allcn /")

EOF

iptables -N ALLCNRULE

iptables -I INPUT -p tcp -j ALLCNRULE

iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN

iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN

iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN

iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN

iptables -A ALLCNRULE -m set --match-set allcn  src -j RETURN

iptables -A ALLCNRULE -p tcp -j DROP

}

if [ "$mmode" == "stop" ] ;then

flush_r

exit 0

fi

flush_r

sleep 1

mstart

执行如下命令将开始拦截

/root/allcn.sh

执行如下命令即可停止拦截

/root/allcn.sh stop

CC攻击拦截

方式1:通过netstat -an命令统计出当前请求并发大于100的IP,然后将不在白名单的IP自动加入DROP规则

首先运行

vi  deny_1.sh

添加以下命令语句

#!/bin/bash

if [[ -z $1 ]];then

num=100

else

num=$1

fi

cd $(cd $(dirname $BASH_SOURCE) && pwd)

iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2} fi}'`

if [[ ! -z $iplist ]];

then

for black_ip in $iplist

do

ip_section=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`

grep -q $ip_section ./white_ip.txt

if [[ $? -eq 0 ]];then

echo $black_ip >>./recheck_ip.txt

else

iptables -nL | grep $black_ip || iptables -I INPUT -s $black_ip -j DROP

echo $black_ip >>./black_ip.txt

fi

done

fi

保存后执行以下语句:

chmod +x deny_1.sh

sh deny_1.sh

拦截的IP会记录到black_ip.txt中,如果有要排除的白名单IP,可将这些IP加入到white_ip.txt,一行一个。

方式2:通过web网站日志中攻击者访问特征,根据这些特征过滤出攻击的ip,利用iptables来阻止(排除本机IP:127.0.0.1)。

首先运行

vi deny_2.sh

添加以下命令语句:

#!/bin/bash

OLD_IFS=$IFS

IFS=$'\n'

for status in `cat 网站访问日志路径 | grep '特征字符' | grep -v '127.0.0.1' | awk '{print $1}' |sort -n | uniq -c | sort -n -r | head -20`

do

IFS=$OLD_IFS

NUM=`echo $status | awk '{print $1}'`

IP=`echo $status | awk '{print $2}'`

if [ -z "`iptables -nvL | grep "dpt:80" | awk '{print $8}' | grep "$IP"`" ];then

if [ $NUM -gt 250 ];then

/sbin/iptables -I INPUT -p tcp  -s $IP --dport 80 -j DROP

fi

fi

done

保存后执行以下语句:

chmod +x deny_2.sh

sh deny_2.sh

最后使用crontab -e 添加到任务计划,每20分钟执行一次:

*/20 * * * * /root/deny_ip1.sh  >dev/null 2>&1

注意:

对于使用了百度云加速或其他cdn加速的,访问者IP可能会是CDN节点IP,刚不适用此方式进行拦截。

对于方式1 若发现和白名单同一个段IP出现在高并发列表,将不会直接拉黑,而是写入到recheck_ip.txt.

对于方式2 执行前建议先将原日志文件改名,以重新生成的新的日志文件为准。

不建议长时间进行拦截,请在一段时间后待服务器负载正常,攻击基本停止后及时取消拦截,恢复原先状态。

来源:西部数码


 Public @ 2009-07-18 15:47:35

云服务器购买其他常见问题

云服务器购买其他常见问题1. 一个云服务器可以放多少个网站?是否有域名和流量限制?答:云服务器可以放多个网站,云服务器没有流量限制(除港台机房)。理论上说,用户可以在云服务器上放无数个网站,但是一个云服务器能承载的网站数量受到本身配置的影响,因此可放网站数量也以用完资源为限。另外需要注意以下几点:机房采用了白名单制度,国内机房限制了60个白名单,港台限制200条白名单/美国sk机房限制300条白名

 Public @ 2010-08-25 16:13:32

云服务器添加多IP操作步骤(Windows&;Linux系统)

Windows系统添加多IP操作步骤: 1. 登录云服务器,在桌面上右键点击计算机,选择“管理”。 2. 点击左侧菜单中的“设备管理器”,在“网络适配器”中找到需要添加多IP的网卡,右键点击选择“属性”。 3. 点击“高级”选项卡,找到“IP设置”中的“添加”按钮。 4. 在“IP地址和子网掩码”中输入需要添加的IP地址和子网掩码,并点击“添加”按钮。 5. 重复以上步骤,添加需要的多IP地址。

 Public @ 2023-04-06 08:00:13

十大Linux操作系统发行版概览

对于Linux新手来说,在各发行版之间困惑得进行选择和不断增加的数量实在令人头晕,这就是写作本文的原因,其中列出的10个(附加一个值得一提的FreeBSD,BSD一族中最为流行的)是被全世界的Linux玩家最广泛使用的发行版。没有数据来支持这个结论,而且对于人们特殊的需求也许会有其它更好的版本来满足,但作为一般原则,这些版本都使用广泛还有活跃的论坛或者邮件列表来让你在遇到问题卡住的时候求救。 Ub

 Public @ 2013-03-27 15:47:39

Linux操作系统带宽、CPU跑满或跑高排查思路

1. 查看系统资源使用情况 可以使用top、htop等命令查看系统各项资源的使用情况,包括CPU使用率、内存占用、进程运行情况等。 2. 查看网络流量情况 可以使用iftop、netstat等命令查看当前网络流量情况,确定是否存在异常的网络访问,是否有恶意攻击。 3. 检查是否存在高CPU进程 使用top命令查看系统各进程的CPU占用情况,确定是否有某个进程占用了过高的CPU资源,可以逐

 Public @ 2023-04-16 18:00:27

更多您感兴趣的搜索

0.498267s