小樱 发表于 2018/9/30 01:49

linux下kangle根据ip访问频率排序连接数展示 搜索syn tcp ddos攻击频率状态,拉黑到系统内核防火墙的iptables黑名单

linux下kangle根据ip访问频率排序连接数展示 搜索syn tcp ddos攻击频率状态,拉黑到系统内核防火墙的iptables黑名单

根据ip访问频率排序连接数展示
netstat -ntu | awk '{print $5}' | egrep -o "{1,3}\.{1,3}\.{1,3}\.{1,3}" | sort | uniq -c | sort -nr

搜索syn状态
netstat -n | grep SYN_RECV

或者
netstat -n | grep SYN_RECV | awk '{print $5}' | cut -d':' -f1 | sort | uniq -c

二楼提供一个防护sh脚本,仅供测试不保证syn防御效果

小樱 发表于 2018/9/30 02:49

while true
do
iplist=`netstat -n | grep SYN_RECV | awk '{print $5}' | cut -d':' -f1 | sort | uniq -c | sed 'N;$d;P;D' | awk '{if($1>10)print $2}'`
for ip in $iplist
do
iptables -I INPUT -s $ip -j DROP
echo "$ip is drop"
sleep 30
done
done
页: [1]
查看完整版本: linux下kangle根据ip访问频率排序连接数展示 搜索syn tcp ddos攻击频率状态,拉黑到系统内核防火墙的iptables黑名单