iptables+ipset封禁高頻請求IP

項目上線之后绍妨,經(jīng)常會被一些爬蟲盯上,這些IP產(chǎn)生大量高頻請求怔球,導(dǎo)致帶寬流量異常,對服務(wù)器造成負(fù)荷浮还。針對這種問題可以采用iptables+ipset進(jìn)行封禁處理竟坛。

為什么不單獨用iptables?

因為iptables創(chuàng)建大量規(guī)則的時候性能會嚴(yán)重下降,性能指數(shù)是O(n)担汤。而ipset是一個ip集合涎跨,一條iptables規(guī)則鏈接一個ipset,性能指數(shù)是O(1)崭歧,ip集合存儲在帶索引的數(shù)據(jù)結(jié)構(gòu)中,這種結(jié)構(gòu)即使集合比較大也可以進(jìn)行高效的查找隅很。此外,ipset支持動態(tài)修改率碾,即使ipset的iptables規(guī)則已經(jīng)啟動叔营,新加入到ipset中的IP也能生效。

centos/redhat安裝ipset
yum install ipset -y
創(chuàng)建一個ipset

ipset create xxx hash:net (也可以是hash:ip 所宰,這指的是單個ip,xxx是ipset名稱)
ipset最大存儲數(shù)量默認(rèn)為65536個元素绒尊,使用maxelem指定數(shù)量
示例:

#集合名字:blacklist,timeout 3600 表示封禁3600s歧匈,timeout為0表示永久垒酬; 
ipset create blacklist hash:ip timeout 3600
#指定最大存儲數(shù)量
ipset create blacklist hash:ip maxelem 1000000 
#添加一個黑名單IP
ipset add blacklist 192.168.10.1
#刪除一個黑名單IP
ipset del blacklist 192.168.10.1
#刪除一個ipset
ipset destroy blacklist
創(chuàng)建一條iptables規(guī)則用來過濾黑名單IP
#添加一條 iptables規(guī)則,鏈接ipset件炉,開啟封禁80勘究,443策略
iptables -A INPUT -p tcp -m set --match-set blacklist src -m multiport --dports 443,80 -j DROP
#也可以封禁所有端口
iptables -I INPUT -p tcp -m set --match-set blacklist src -m multiport -j DROP
基于自定義訪問頻率閾值或者請求敏感關(guān)鍵字來創(chuàng)建自動篩選惡意IP的腳本/data/iptables_ipset_deny.sh

FILES:nginx的access.log文件
sensitive: 敏感關(guān)鍵字
threshold: 一分鐘內(nèi)請求頻率閾值

#!/bin/bash
FILES="/data/nginx/logs/access.log"
sensitive="sensitive_word"
threshold=1000
 
ip_file="/tmp/ip_file"
sensitive_file="/tmp/sensitive_file"
DATE=`date -d '1 minutes ago' +%Y:%H:%M`
 
grep ${DATE} ${FILES} | awk '{print $1}' | sort | uniq -c | sort -n | tail -n 1 > ${ip_file}
grep ${DATE} ${FILES} | grep -i ${sensitive} | awk '{print $1}' | sort -n | uniq > ${sensitive_file}
 
ip_file_number=`awk '{print $1}' ${ip_file}`
ip_file_ip=`awk '{print $2}' ${ip_file}`
 
if [[ $ip_file_number -gt $threshold ]];then
    ipset add blacklist ${ip_file_ip} timeout 3600
fi
 
if [ -s ${sensitive_file} ];then
    for sensitive_ip in `cat ${sensitive_file}`
    do
        ipset add blacklist ${sensitive_ip}
    done
fi
---------------------
使用crontab啟動腳本
echo "* * * * * bash /data/iptables_ipset_deny.sh" >> /etc/crontab
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市斟冕,隨后出現(xiàn)的幾起案子口糕,更是在濱河造成了極大的恐慌,老刑警劉巖磕蛇,帶你破解...
    沈念sama閱讀 211,348評論 6 491
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件景描,死亡現(xiàn)場離奇詭異,居然都是意外死亡秀撇,警方通過查閱死者的電腦和手機(jī)超棺,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,122評論 2 385
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來呵燕,“玉大人棠绘,你說我怎么就攤上這事≡倥ぃ” “怎么了氧苍?”我有些...
    開封第一講書人閱讀 156,936評論 0 347
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長泛范。 經(jīng)常有香客問我让虐,道長,這世上最難降的妖魔是什么罢荡? 我笑而不...
    開封第一講書人閱讀 56,427評論 1 283
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任赡突,我火速辦了婚禮对扶,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘麸俘。我一直安慰自己辩稽,他們只是感情好惧笛,可當(dāng)我...
    茶點故事閱讀 65,467評論 6 385
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布从媚。 她就那樣靜靜地躺著,像睡著了一般患整。 火紅的嫁衣襯著肌膚如雪拜效。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 49,785評論 1 290
  • 城市分裂傳說
    那天各谚,我揣著相機(jī)與錄音紧憾,去河邊找鬼。 笑死昌渤,一個胖子當(dāng)著我的面吹牛赴穗,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播膀息,決...
    沈念sama閱讀 38,931評論 3 406
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼般眉,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了潜支?” 一聲冷哼從身側(cè)響起甸赃,我...
    開封第一講書人閱讀 37,696評論 0 266
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤,失蹤者是張志新(化名)和其女友劉穎冗酿,沒想到半個月后埠对,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,141評論 1 303
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡裁替,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 36,483評論 2 327
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年项玛,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片弱判。...
    茶點故事閱讀 38,625評論 1 340
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡襟沮,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出裕循,到底是詐尸還是另有隱情臣嚣,我是刑警寧澤,帶...
    沈念sama閱讀 34,291評論 4 329
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布剥哑,位于F島的核電站硅则,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏株婴。R本人自食惡果不足惜怎虫,卻給世界環(huán)境...
    茶點故事閱讀 39,892評論 3 312
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一暑认、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧大审,春花似錦蘸际、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,741評論 0 21
  • 一樁弒父案粮彤,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至姜骡,卻和暖如春导坟,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背圈澈。 一陣腳步聲響...
    開封第一講書人閱讀 31,977評論 1 265
  • 情欲美人皮
    我被黑心中介騙來泰國打工惫周, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人康栈。 一個月前我還...
    沈念sama閱讀 46,324評論 2 360
  • 代替公主和親
    正文 我出身青樓递递,卻偏偏與公主長得像,于是被迫代替她去往敵國和親啥么。 傳聞我的和親對象是個殘疾皇子登舞,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 43,492評論 2 348

推薦閱讀更多精彩內(nèi)容

  • 常用命令 最近在云主機(jī)的日志`/var/log/secure`里發(fā)現(xiàn)一些惡意嘗試登陸的IP,具體表現(xiàn)是不斷使用ro...
    leitty閱讀 795評論 0 0
  • 語法:ipset [ OPTIONS ] COMMAND [ COMMAND-OPTIONS ]COMMANDS ...
    老夫劉某閱讀 2,984評論 0 0
  • 利用 ipset 封禁大量 IP 使用 iptables 封 IP饥臂,是一種比較簡單的應(yīng)對網(wǎng)絡(luò)攻擊的方式逊躁,也算是比較...
    dtdh閱讀 1,343評論 0 0
  • ipset是什么稽煤?ipset是iptables的擴(kuò)展,它允許你創(chuàng)建 匹配整個地址集合的規(guī)則。而不像普通的iptab...
    化城閱讀 2,473評論 0 0
  • feisky云計算囚戚、虛擬化與Linux技術(shù)筆記posts - 1014, comments - 298, trac...
    不排版閱讀 3,827評論 0 5