提示:根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100
即调用防火墙命令封掉对应的IP,监控频率每隔3分钟
防火墙命令为:iptables -A INPUT -s 10.0.1.10 -j DROP
思路:
1.分析日志,提取IP和PV数
2.while语句,读取提取到的IP和PV数,并实现3分钟循环一次
3.调用防火墙命令
用while读取日志方法:
1.cat a.log | while read line
do
done
2.exec
do
done
3.while read line
do
done
脚本:#!/bin/bash
#Author:liuwei
#Site:
whiletrue
do
#cat12_01.log|awk‘{print$1}‘|sort|uniq-c>a.log
netstat-an|grepESTAB|awk-F"[:]+"‘{print$6}‘|sort|uniq-c>b.log
exec
whilereadline
do
pv=`echo$line|awk‘{print$1}‘`
ip=`echo$line|awk‘{print$2}‘`
if[$pv-gt5]&&[`iptables-L-n|grep$ip|wc-l`-eq0];then
iptables-AINPUT-s$ip-jDROP
fi
done
sleep180
done
实现思路:
1.根据日志提取ip和pv数,或者根据网络连接数提ip和pv
2.判断当pv大于你所能接受的最大值时,把此ip加入防火墙中
3.可以结合crontab实现每3分钟执行一次
知识点:
awk -F "[ :]+"
-F:指定分隔符时,需要添加此选项
[ :]+ :以空格或者冒号为分隔符,+表示空格或者冒号最少出现一次