给Linux服务器或VPS增加防CC攻击脚本 支持白名单过滤

此脚本对使用了CDN的网站无效,对使用了反向代理的网站也不太适合

#!/bin/bash
#从第一个参数取得限制阈值,如果未设置最高并发,将设置为100
if [[ -z $1 ]];then
        num=100
else
        num=$1
fi

#进入到脚本所在目录
cd $(cd $(dirname $BASH_SOURCE) && pwd)

#取得当前请求大于阈值$num的IP列表
iplist=`netstat -an |grep ^tcp.*:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2}}'`

#循环IP列表进行筛选和处理
if [[ ! -z $iplist ]];
then
        for black_ip in $iplist
            do
                #取得IP所在段
                ip_section=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`
                #先检查白名单中是否存在匹配的IP段(为了支持整段IP为白名单)
                grep -q $ip_section ./white_ip.txt
                if [[ $? -eq 0 ]];then
                        #若发现black_ip和白名单的一个段匹配,则写入到待验证列表,并暂时放过
                        echo $black_ip >>./recheck_ip.txt
                else
                        #若不再白名单当中,则直接将black_ip加入到防火墙的DROP规则当中,并记录
                        iptables -nL | grep $black_ip || iptables -I INPUT -s $black_ip -j DROP
                        echo $black_ip >>./black_ip.txt
                fi
           done
fi

crontab -e 添加计划任务

*/5 * * * * /root/deny_ip.sh 150 >dev/null 2>&1
最后修改时间为:2016 年 11 月 29 日 01 时 58 分 PM
如果觉得我的文章对你有用,请随意赞赏

1 条评论

  1. 子痕

    好东西,先收藏着。

发表评论