如何加快csf防火墙block ip的速度（送自己写的防CC脚本）

loning · 发表于 2011-12-3 03:45:50

我的服务器每天大概会被1000个左右的并发IP CC
我通过日志大概分析出来一些非法的请求，但是在使用CSF禁止ip的时候，由于iptables要锁表，导致特别特别慢。。求快速加入iptables的方法...

下面是封大量连接没有referer来源的脚本，自己写的比较2。。见谅..

#!/bin/bash
ips=`tail -100 /data/logs/aaa.com.log | grep -E ' GET ' | awk '{if ($11=="-"){print $1}}' |sort |uniq -c | awk '{if ($1 > 1 ){ print $2 }}'`

cache=`tail -1000 /data/logs/aaa.com.log`;
#printf "$cache";
#echo "$cache";
for ip in $ips;do
      #echo $ip;
      ipcache=`echo "$cache" | grep -E "^$ip"`;
      posttest=`echo "$ipcache" | grep -E ' POST ' | wc -l`;
      if [ $posttest -gt 0 ]
      then
            echo "$ip POST detected,continue";
            continue;
      fi
      match=`echo "$ipcache" |grep -E ' GET ' | awk '{if ($11 == "-") {print $11}}' | wc -l`;

      if [ $match -gt 10 ]
      then
            FLAG=0;
            grep $ip /etc/csf/csf.tempban > /dev/null
            if [ $? -ne $FLAG ]
            then
                     /usr/sbin/csf -td $ip 43200
                     echo "block $ip, match $match";
            else
                     echo "already block $ip, match $match" ;
            fi

      fi
      #echo $match;
      #echo "$cache"| grep $ip >> /data/logs/ban/200.log;
done
~

domin · 发表于 2011-12-3 04:19:32

直接通过iptables封不就行了吗, 为什么要用csf

Kvm · 发表于 2011-12-3 09:22:03

分析日志太蛋痛了

不用iptables的情况下可以用apache或者nginx屏蔽IP的功能也行的

用户名 · 发表于 2011-12-3 09:23:15

wusir · 发表于 2011-12-3 09:39:00

有碼學習

哈P哥 · 发表于 2011-12-3 09:46:06

楼主很厉害，非常不错

themyth · 发表于 2011-12-3 10:04:38

楼主不错,能否写个iptables下的?

违法主机 · 发表于 2011-12-3 10:12:16

我尝试把脚本改改!!

莫桑比特 · 发表于 2011-12-3 11:56:33

直接上CC软防，几十万CC无视

fw2youxx2008 · 发表于 2011-12-3 11:57:50

原帖由 loning 于 2011-12-3 03:45 发表

我的服务器每天大概会被1000个左右的并发IP CC
我通过日志大概分析出来一些非法的请求，但是在使用CSF禁止ip的时候，由于iptables要锁表，导致特别特别慢。。求快速加入iptables的方法...

下面是封大量连接没有referer来 ...
看来以后要加referer了咱不懂