#!/bin/bash
# 小绿叶技术博客扫段攻击拦截系统
#抓包监控tcp攻击ip进行拦截。
systemctl enable firewalld ; systemctl start firewalld
# 将firewalld 防火墙加入开机启动
folder="/anfang/ip"
mkdir -p $folder
# 抓包等待30s 杀掉进程,符号 & 并列执行
zdyljs=260
timetcp=280
tcpdump -nn > $folder/ipfwyuan.txt & sleep $timetcp ; killall -9 tcpdump ; sleep 3
echo "访问限制tcp连接数;$zdyljs 抓包时长为 $timetcp"
rm -rf $folder/ipfw.txt
cat $folder/ipfwyuan.txt | grep S | awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3 "." $4}' |sort | uniq -c > $folder/ipfw.txt
#sed -i "s/\[/ /g" $folder/ipfw.txt;sed -i "s/\]/ /g" $folder/ipfw.txt ; sed -i "s/>/ /g" $folder/ipfw.txt ; sed -i '/[a-zA-Z]/d' $folder/ipfw.txt ;
#sed -i '/.../d' $folder/ipfw.txt ; sed -i '/:/d' $folder/ipfw.txt ; sed -i "/^$/d" $folder/ipfw.txt
# 清除文件特殊字符和空格
sed -i "/^$/d" $folder/ipfw.txt
cat $folder/ipfw.txt
#-------------------------------- 防火墙 ------------------------------------------#
echo "查询数据库白名单:"
mysql -h 10.111.111.2 -uenchantment -peisc.cn@eisc -e "use enchantment;select * from setip"
mysql -h 10.111.111.2 -uenchantment -peisc.cn@eisc -e "use enchantment;select * from setip" > /anfang/ip/bmd-ip.txt
#查询数据库白名单,脚本每次执行查询一次数据库
#---------- 白名单:判断是否拦截 -------#
bmd(){
file="/anfang/ip/bmd-ip.txt" # 白名单文件
pd=`cat $file | awk -F" " '{print $3}' | grep $ip`
# 白名单文件打印第三列为ip地址
# 没有数据库可以删除查询数据库,可以直接写入
if [ ${#pd} -lt 7 ] # ${#} 符号标识字符串长度
then
echo "查询匹配 ip: $ip 的长度小于7 没有白名单,将被禁止访问 "
else
echo "ip: $ip 不小于7查询到数据有白名单,ip 不会被拦截"
ip=""
fi
}
#安全防火墙拦截规则执行firewalld
firewalldjz(){
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp" port="20-65535" reject"
firewall-cmd --reload
}
#------------ ip 白名单:被封禁后解除限制 ------------#
bmdIP(){
# 小绿叶结界-解除ip限制,由ip白名单库放行
ip=(`cat /anfang/ip/bmd-ip.txt | awk -F" " '{print $3}' `)
for((i>0;i<${#ip[*]};i++))
do
ip=${ip[$i] }
ipd=$(echo $ip | awk -F"." '{print $1 "." $2 "." $3 "." "0/24"}')
echo "解除ip:$ip 解除ip网段:$ipd"
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ip" port protocol="tcp"
port="20-65535" reject"
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="$ipd" port protocol="tcp" port="20-65535" reject"
done
}
#--------- 安防监控异常 ip ---------#
anfangip(){
NR=$(cat $folder/ipfw.txt | wc -l); echo $NR
ipfw=(`cat $folder/ipfw.txt | awk -F" " '{print $2}'`) ; echo $ipfw
for((i=0;i<$NR;i++))
do
ljs=`cat $folder/ipfw.txt | grep ${ipfw[$i]} | awk -F" " '{print $1}'` ; echo "${ipfw[$i]} 连接数为: $ljs"
if [ $ljs -gt $zdyljs ]
then
ip=${ipfw[$i]}
bmd
firewalldjz
echo "$ip 连接数为: $ljs 超过法制:$zdyljs 连接数" >> $folder/jinzhiip.txt
fi
done
}
anfangip
#
#--------- 安防日志文件 ---------#
filelog(){
cat $folder/ipfw.txt >> $folder/rizhi.txt
echo `date` >> $folder/rizhi.txt
# 实时监控日志ipfw.txt存入长期保存ip地址库 rizhi.txt
#
cat $folder/rizhi.txt > /root/rizhi.txt
}
filelog
#
#--------- 安防监控异常 ip 网段 ---------#
anfangipd(){
cat /dev/null > $folder/saoduanrun.txt # 情况实时计算网段库,重新计量记录
cat $folder/ipfwyuan.txt| awk -F" " '{print $3}' | awk -F"." '{print $1 "." $2 "." $3}' |sort | uniq -c > $folder/saoduanrun.txt ;
echo "--------- 获得实时日志 saoduanrun.txt 开始判断 -------------- "
cat $folder/saoduanrun.txt >> $folder/saoduan.txt ; cat $folder/saoduan.txt > /root/saoduan.txt
# 获得网段:实时日志 rizhi.txt 过滤ip段; 存入实时 saoduanrun.txt 扫段日志 ; 扫段日志长期保留ip网段库 saoduan.txt
wdk=(`cat $folder/saoduanrun.txt | awk -F" " '{print $2 }'`)
# 定义ip段
NR=${#wdk[*]}
for((i=0;i<$NR;i++))
do
wdsl=`cat $folder/saoduanrun.txt | grep ${wdk[$i]} | awk -F" " '{print $1}'`
ip=${wdk[$i]}
if [ $wdsl -gt $zdyljs ]
then
bmd
ip=`echo "$ip.0/24"`
firewalldjz
echo "$ip 网段连接数为: $wdsl 超过法制:$zdyljs 连接数,被禁止访问" >> $folder/saoduan.txt
fi
done
}
anfangipd ; bmdIP
# 拦截ip 与 ip 白名单解除限制
# export eisc # 全局变量 eisc
# set unset eisc # 取消全局变量 eisc
# /etc/profile ~/bashrc 环境变量