#!/bin/bash#####################################################################################根据web访问日志,封禁请求量异常的IP,如IP在半小时后恢复正常,则解除封禁####################################################################################logfile=/data/log/access.log#显示一分钟前的小时和分钟d1=`date -d "-1 minute" +%H%M`d2=`date +%M`ipt=/sbin/iptablesips=/tmp/ips.txtblock(){#将一分钟前的日志全部过滤出来并提取IP以及统计访问次数grep '$d1:' $logfile|awk '{print $1}'|sort -n|uniq -c|sort -n > $ips#利用for循环将次数超过100的IP依次遍历出来并予以封禁for i in `awk '$1>100 {print $2}' $ips`do$ipt -I INPUT -p tcp --dport 80 -s $i -j REJECTecho "`date +%F-%T` $i" >> /tmp/badip.logdone}unblock(){#将封禁后所产生的pkts数量小于10的IP依次遍历予以解封for a in `$ipt -nvL INPUT --line-numbers |grep '0.0.0.0/0'|awk '$2<10 {print$1}'|sort -nr`do$ipt -D INPUT $adone$ipt -Z}#当时间在00分以及30分时执行解封函数if [ $d2 -eq "00" ] || [ $d2 -eq "30" ]then#要先解再封,因为刚刚封禁时产生的pkts数量很少unblockblockelseblockfi
若有收获,就点个赞吧
0 人点赞
