天天看點
傳回

tcpdump 方式檢測 ip ip段 tcp并發數攻擊防禦shell 腳本

#!/bin/bash

# 小綠葉技術部落格掃段攻擊攔截系統

#抓包監控tcp攻擊ip進行攔截。

systemctl enable firewalld ; systemctl start firewalld

# 将firewalld 防火牆加入開機啟動

folder="/anfang/ip"

mkdir -p $folder

# 抓包等待30s 殺掉程序,符号 & 并列執行

zdyljs=260

timetcp=280

tcpdump -nn > $folder/ipfwyuan.txt & sleep $timetcp ; killall -9 tcpdump ; sleep 3

echo "通路限制tcp連接配接數;$zdyljs   抓包時長為 $timetcp"

rm -rf $folder/ipfw.txt

cat $folder/ipfwyuan.txt | grep S | awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3 "." $4}'  |sort  | uniq -c > $folder/ipfw.txt

#sed -i "s/\[/ /g" $folder/ipfw.txt;sed -i "s/\]/ /g" $folder/ipfw.txt ; sed -i "s/>/ /g" $folder/ipfw.txt ; sed -i '/[a-zA-Z]/d' $folder/ipfw.txt ;

#sed -i '/.../d' $folder/ipfw.txt ; sed -i '/:/d' $folder/ipfw.txt ; sed -i "/^$/d"  $folder/ipfw.txt

# 清除檔案特殊字元和空格

sed -i "/^$/d" $folder/ipfw.txt

cat $folder/ipfw.txt

#--------------------------------  防火牆 ------------------------------------------#

echo "查詢資料庫白名單:"

mysql -h 10.111.111.2 -uenchantment -peisc.cn@eisc -e "use enchantment;select * from setip"

mysql -h 10.111.111.2 -uenchantment -peisc.cn@eisc -e "use enchantment;select * from setip" >  /anfang/ip/bmd-ip.txt

#查詢資料庫白名單,腳本每次執行查詢一次資料庫

#---------- 白名單:判斷是否攔截 -------#

bmd(){

       file="/anfang/ip/bmd-ip.txt"            # 白名單檔案

       pd=`cat $file | awk -F" " '{print $3}' | grep $ip`

                                               # 白名單檔案列印第三列為ip位址

                                               # 沒有資料庫可以删除查詢資料庫,可以直接寫入

       if [ ${#pd} -lt 7  ]                    # ${#}  符号辨別字元串長度

       then

           echo "查詢比對 ip: $ip 的長度小于7 沒有白名單,将被禁止通路 "

       else

           echo "ip: $ip 不小于7查詢到資料有白名單,ip 不會被攔截"

           ip=""

       fi

}

#安全防火牆攔截規則執行firewalld

firewalldjz(){

              firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="20-65535" reject"

              firewall-cmd --reload

#------------ ip 白名單:被封禁後解除限制 ------------#

bmdIP(){

# 小綠葉結界-解除ip限制,由ip白名單庫放行

ip=(`cat /anfang/ip/bmd-ip.txt | awk -F" " '{print $3}' `)

for((i>0;i<${#ip[*]};i++))

   do

       ip=${ip[$i] }

       ipd=$(echo $ip | awk -F"." '{print $1 "." $2  "." $3 "."  "0/24"}')

       echo "解除ip:$ip    解除ip網段:$ipd"

              firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp"

port="20-65535" reject"

              firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ipd" port protocol="tcp" port="20-65535" reject"

   done

#---------  安防監控異常 ip ---------#

anfangip(){

NR=$(cat $folder/ipfw.txt | wc -l); echo $NR

ipfw=(`cat $folder/ipfw.txt | awk -F" " '{print $2}'`) ; echo $ipfw

for((i=0;i<$NR;i++))

 do

    ljs=`cat $folder/ipfw.txt | grep ${ipfw[$i]} | awk -F" " '{print $1}'` ; echo "${ipfw[$i]} 連接配接數為: $ljs"

    if [ $ljs -gt $zdyljs  ]

        then

                  ip=${ipfw[$i]}

                  bmd

                  firewalldjz

                  echo "$ip 連接配接數為: $ljs    超過法制:$zdyljs 連接配接數" >> $folder/jinzhiip.txt

        fi

 done

anfangip

#

#---------  安防日志檔案 ---------#

filelog(){

cat $folder/ipfw.txt >> $folder/rizhi.txt

echo `date` >> $folder/rizhi.txt

# 實時監控日志ipfw.txt存入長期儲存ip位址庫 rizhi.txt

cat $folder/rizhi.txt > /root/rizhi.txt

filelog

#---------  安防監控異常 ip 網段 ---------#

anfangipd(){

cat /dev/null > $folder/saoduanrun.txt  # 情況實時計算網段庫,重新計量記錄

cat $folder/ipfwyuan.txt| awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3}' |sort  | uniq -c > $folder/saoduanrun.txt ;

echo "---------  獲得實時日志 saoduanrun.txt 開始判斷 -------------- "

cat $folder/saoduanrun.txt >> $folder/saoduan.txt ; cat $folder/saoduan.txt > /root/saoduan.txt

# 獲得網段:實時日志 rizhi.txt 過濾ip段; 存入實時 saoduanrun.txt 掃段日志 ; 掃段日志長期保留ip網段庫 saoduan.txt

wdk=(`cat $folder/saoduanrun.txt | awk -F" " '{print $2 }'`)

# 定義ip段

NR=${#wdk[*]}

    wdsl=`cat $folder/saoduanrun.txt | grep ${wdk[$i]} | awk -F" " '{print $1}'`

    ip=${wdk[$i]}

    if [ $wdsl -gt $zdyljs  ]

           bmd

           ip=`echo "$ip.0/24"`

           firewalldjz

           echo "$ip 網段連接配接數為: $wdsl    超過法制:$zdyljs 連接配接數,被禁止通路" >> $folder/saoduan.txt

anfangipd ; bmdIP

# 攔截ip 與 ip 白名單解除限制

# export eisc        # 全局變量 eisc

# set unset eisc     # 取消全局變量 eisc

# /etc/profile  ~/bashrc  環境變量

機器學習/深度學習 網絡協定 shell perl 網絡安全 監控 安全 資料庫 關系型資料庫 mysql shell腳本sftp 外網ip shell shell腳本top shell變量環境變量管道符 term shell腳本
上一篇: 【DB吐槽大會】第71期 - PG pg_stat_statements缺乏p99, p95的名額
下一篇: 【DB吐槽大】第72期 - PG wal 聯網協定不夠發達

繼續閱讀