IP地址自动封与解封的shell脚本

本脚本学习与阿铭的脚本课程。
用于防止公司网站被DDos攻击时,封禁“”肉机“” 的IP地址。
共分为以下步骤:
1、每分钟分析一次访问日志/data/logs/access_log。
2、把访问量超过100的IP给封掉。
3、将封过的IP地址全部记录到一个日志log中。
4、每隔一段时间检查一次被封的IP,将不在超过100的访问的IP解封。
5、解封的IP记录到另外的日志中。

#!/bin/bash
#用途:防止DDos攻击,将访问量超过100的IP地址禁掉
#作者:Caron maktini
#日期:2018年10月17日
#版本:v0.1

t1='date -d "-1 min " +%Y:%H:%M'
log=/data/logs/access_log

block_ip()
{
    egrep "$t1:[0-5]+ "  ¥log > /tmp/tmp_last_min.log

    #把一分钟内访问量高于100的ip地址记录到一个临时文件中。
    awk '{print $1}'  /tmp/_last_min.log | sore -n | uniq -c | awk '$1>100 {print $2}' > /tmp/bad_ip.list

    #计算ip的数量
    n=`wc -l /tmp/bad_ip.list | awk '{print $1}'`
    
    #当ip数大于0时,才会用iptables封掉。
    if [ $n -ne 0 ]
    then 
        for ip in `cat /tmp/bad_ip.list`
        do 
           iptables -I INPUT -s $ip -j REJCT
        done
     
       #将这些被封的ip记录到日志里
       echo "`date` 封掉的ip有: "  >> /tmp/black_ip.log
       echo /tmp/bad_ip.list  >> /tmp/black_ip.log
   fi
 }

unblock_ip ()
{
    #首先将包括个数小于5的ip记录到一个临时文件里,把它们标记为白名单IP

    iptables -nvL INPUT | sed '1d' | awk '$1<5 {print $8}' > /tmp/good_ip.list
   n=`wc -l  /tmp/good_ip.list | awk '{print $1}'`
    if [ $n -ne 0 ]
    then 
        for ip in `cat  /tmp/good_ip.list`
        do
            iptables -D INPUT -s $ip -j REJECT
        done
        echo "`date` 解封的ip有:"  >>  /tmp/unblock_ip.log
        cat   /tmp/good_ip.list  >> /tmp/unblock_ip.log
    fi
    #当解封完白名单ip后,将计数清零,进入下一个计数周期
    iptables  -Z
}

#取当前时间的分钟数

t=`date  +%M`
#当分钟数内为00或者30时(即每隔30分钟),执行解封ip的函数,其他时间执行解封ip的函数。

if [  $t  == "00" ] || [ $t == "30" ]
then 
      unblock_ip 
      block_ip
else
      block_ip

fi  


上一篇:监控指南之zabbix监控


下一篇:MySQL数据库备份的shell脚本