火币HTX
火币是全球三大交易所之一,虚拟货币交易平台安全可靠,注册领取新人礼包!
根据对大多数用户提交的问题进行总结,近期发布一期新的技术帮助文档,内容是:Linux系统服务器内,如何屏蔽国外IP访问以及进行简单的防CC攻击拦截?
![图片[1]-玩转网Linux系统服务器,如何屏蔽国外IP访问及进行简单的防CC攻击拦截?-玩转网](https://www.902d.com/wp-content/uploads/2021/07/2021072204095511.jpg)
第一部分:屏蔽国外IP访问
通过ssh远程登录服务器内,运行如下命令语句获取国内IP网段,会保存为/root/china_ssr.txt
wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt将下面脚本保存为/root/allcn.sh ,并设置可执行权限( 命令:chmod +x allcn.sh)
mmode=$1
CNIP="/root/china_ssr.txt"
gen_iplist() {
cat <<-EOF
$(cat ${CNIP:=/dev/null} 2>/dev/null)
EOF
}
flush_r() {
iptables -F ALLCNRULE 2>/dev/null
iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
iptables -X ALLCNRULE 2>/dev/null
ipset -X allcn 2>/dev/null
}
mstart() {
ipset create allcn hash:net 2>/dev/null
ipset -! -R <<-EOF
$(gen_iplist | sed -e "s/^/add allcn /")
EOF
iptables -N ALLCNRULE
iptables -I INPUT -p tcp -j ALLCNRULE
iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
iptables -A ALLCNRULE -m set --match-set allcn src -j RETURN
iptables -A ALLCNRULE -p tcp -j DROP
}
if [ "$mmode" == "stop" ] ;then
flush_r
exit 0
fi
flush_r
sleep 1
mstart执行如下命令将开始拦截
/root/allcn.sh执行如下命令即可停止拦截
/root/allcn.sh stop第二部分:简单的CC攻击拦截
![图片[2]-玩转网Linux系统服务器,如何屏蔽国外IP访问及进行简单的防CC攻击拦截?-玩转网](https://www.902d.com/wp-content/uploads/2021/07/2021072204175429.jpg)
方式1:通过netstat -an命令统计出当前请求并发大于100的IP,然后将不在白名单的IP自动加入DROP规则
首先运行
vi deny_1.sh添加以下命令语句
#!/bin/bash
if [[ -z $1 ]];then
num=100
else
num=$1
fi
cd $(cd $(dirname $BASH_SOURCE) && pwd)
iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2} fi}'`
if [[ ! -z $iplist ]];
then
for black_ip in $iplist
do
ip_section=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`
grep -q $ip_section ./white_ip.txt
if [[ $? -eq 0 ]];then
echo $black_ip >>./recheck_ip.txt
else
iptables -nL | grep $black_ip || iptables -I INPUT -s $black_ip -j DROP
echo $black_ip >>./black_ip.txt
fi
done
fi保存后执行以下语句:
chmod +x deny_1.sh
sh deny_1.sh拦截的IP会记录到black_ip.txt中,如果有要排除的白名单IP,可将这些IP加入到white_ip.txt,一行一个。
![图片[3]-玩转网Linux系统服务器,如何屏蔽国外IP访问及进行简单的防CC攻击拦截?-玩转网](https://www.902d.com/wp-content/uploads/2021/07/202107220418138.jpg)
方式2:通过web网站日志中攻击者访问特征,根据这些特征过滤出攻击的ip,利用iptables来阻止(排除本机IP:127.0.0.1)。
首先运行
vi deny_2.sh添加以下命令语句:
#!/bin/bash
OLD_IFS=$IFS
IFS=$'\n'
for status in `cat 网站访问日志路径 | grep '特征字符' | grep -v '127.0.0.1' | awk '{print $1}' |sort -n | uniq -c | sort -n -r | head -20`
do
IFS=$OLD_IFS
NUM=`echo $status | awk '{print $1}'`
IP=`echo $status | awk '{print $2}'`
if [ -z "`iptables -nvL | grep "dpt:80" | awk '{print $8}' | grep "$IP"`" ];then
if [ $NUM -gt 250 ];then
/sbin/iptables -I INPUT -p tcp -s $IP --dport 80 -j DROP
fi
fi
done保存后执行以下语句:
chmod +x deny_2.sh
sh deny_2.sh最后使用crontab -e 添加到任务计划,每20分钟执行一次:
*/20 * * * * /root/deny_ip1.sh >dev/null 2>&1![图片[4]-玩转网Linux系统服务器,如何屏蔽国外IP访问及进行简单的防CC攻击拦截?-玩转网](https://www.902d.com/wp-content/uploads/2021/07/2021072204183867.jpg)
使用本教程请注意:
1.对于使用了百度云加速或其他CDN加速的,访问者IP可能会是CDN节点IP,则不适用此方式进行拦截。
2.对于方式1,若发现和白名单同一个段IP出现在高并发列表,将不会直接拉黑,而是写入到recheck_ip.txt。
3.对于方式2,执行前建议先将原日志文件改名,以重新生成的新的日志文件为准。
4.不建议长时间进行拦截,请在一段时间后待服务器负载正常,攻击基本停止后及时取消拦截,恢复原先状态。
网站名称:玩转网
本文链接:
版权声明:知识共享署名-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)协议进行许可
本站资源仅供个人学习交流,转载时请以超链接形式标明文章原始出处,(如有侵权联系删除)
