解决DDOS攻击生产案例

时间:2023-08-21 10:34:32

根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP.

当然各个公司的IP并发数各有不同,上面只是举例说明。

因为我的Nginx的WEB日志每天进行切割处理,不然所有web日志都堆在一起,查看麻烦。

系统状态

 [root@nginx shell]# cat /etc/redhat-release

 CentOS release 6.7 (Final)

 [root@nginx shell]# uname -r

 2.6.-.el6.x86_64

 [root@nginx shell]# /application/nginx/sbin/nginx -v

 nginx version: nginx/1.10.

1、web日志切割脚本

脚本如下,各位网友可以根据自己的需求进行更改。

此脚本可以放在定时任务中执行,按照天数进行切割。

#!/bin/bash

#-------------CopyRight-------------

#   Name:Cut Ningx logs

#   Version Number:1.1

#   Type:sh

#   Language:bash shell

#   Date:--

#   Author:xubing

#   QQ:

#   Email:eeexu123@.com

#   Blog:https://www.cnblogs.com/eeexu123/

#Nginx日志轮询切割备份

IP=$(ifconfig eth0 | awk -F "[ :]+" 'NR==2 {print $4}')

#cut every day nginx log

cut(){

  [ -d "/application/nginx/logs" ]||{

     echo "Nginx logs is not exist."

     exit

  }

  cd /application/nginx/logs

  /bin/mv www_access.log www_access_$(date +%F).log

  /application/nginx/sbin/nginx -s reload

}

#tar nginx log file to /backup

backup(){

  [ -d "/backup/$IP" ]||{

     mkdir -p /backup/$IP

  }

  tar -zcf /backup/$IP/www_access_$(date +%F).log.tar.gz www_access_$(date +%F).log

  #rysnc /backup file to backup server

  rsync -avz /backup/$IP rsync_backup@172.16.1.41::backup/ --password-file=/etc/rsync.password  //推送到备份服务器上

}

#del before  day nginx log

del(){

  find /application/nginx/logs -type f -name "*$(date +%F).log" -mtime + | xargs rm -f

  find /backup/$IP -type f -name "*.tar.gz" -mtime + | xargs rm -f

}

main(){

  cut

  sleep

  backup

  sleep

  del

}

main

2、DOS攻击防护脚本

根据上述web日志进行PV统计。此脚本可以放入定时任务中。也可以在main函数中进行while循环

#!/bin/bash

#-------------CopyRight-------------

#   Name:defined DoS

#   Version Number:1.1

#   Type:sh

#   Language:bash shell

#   Date:--

#   Author:xubing

#   QQ:

#   Email:eeexu123@.com

#   Blog:https://www.cnblogs.com/eeexu123/

ch_web_log(){

  awk '{print $1}' /application/nginx/logs/www_access_$(date +%F).log|sort|uniq -c|sort -rn -k1>/tmp/ip.log  //将统计的IP访问次数放到ip.log文件中

  while read line

  do

    PV=`echo $line|awk '{print $1}'`    //IP访问次数

    IP=`echo $line|awk '{print $2}'`

    if [ $PV -ge  -a `iptables -nL|grep "$IP"|wc -l` -lt  ];then   //将PV大于100的IP,并且防火墙上并没有封堵此IP。不然防火墙会重复封堵IP

       iptables -I INPUT -s $IP -j DROP     //防火墙封堵

       echo "$IP" >>/tmp/`date +%F`_ip.log  //将封堵的IP放到此文件中

       echo "The DROP ip is $IP"

    fi

  done</tmp/ip.log

}

#删除被防火墙封堵的IP

del(){

  exec </tmp/$(date +%F -d '1day ago')_ip.log

  while read line

  do

    iptables -D INPUT -s $line -j DROP

  done

}

main(){

  ch_web_log

  sleep

  del

}

main

相关文章