实现DDOS攻击自动封禁IP

阿国运维网技术分享平台：桌面运维、网络运维、系统运维、服务器运维(及云服务器)，精品软件分享、阿国网络、尽在北京运维网

需求：请根据web日志或者或者网络连接数，监控当某个IP并发连接数或者短时内PV达到100，即调用防火墙命令封掉对应的IP。

防火墙命令为：iptables-I INPUT -s IP地址 -j DROP。

脚本实现:

#!/bin/bash############################################################## File Name: ddos_check.sh#############################################################
Info_File=/tmp/ddos_check.log
#从连接数获取#netstat -lant|awk -F "[ :]+" '/180:80/{clsn[$6]++}END{for(pol in clsn)print pol,clsn[pol]}' >$Info_File
# 从日志获取awk '{hotel[$1]++}END{for(pol in hotel)print pol,hotel[pol]}' access.log|sort -nk2 -r >$Info_File
while read line do  Ip_Add=`echo $line |awk '{print $1}'` Access=`echo $line |awk '{print $2}'` if [ $Access -ge 10000 ] then #echo $Ip_Add iptables -I INPUT -s $Ip_Add -j DROP fidone <$Info_File