在Linux下封停IP,有封杀网段和封杀单个IP两种形式。于是下面详细说明一下封杀单个IP的命令,和解封单个IP的命令。
在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。
今天就来分享一下Linux服务器下如何获取攻击者IP然后进行封禁,首先Linux服务器就是采用Linux系统的网络服务器,当Linux服务器遭到DDOs攻击或者CC攻击时,如果攻击流量非常大,那只能通过专业的网络安全公司接入高防来防御了,但如果是小流量的攻击时,我们可以通过使用 iptables 来手动封禁这些攻击者的IP,从而达到防护效果。
前景
监控检测到服务器SYN_RECV
状态连接较多,通过如下命令进行分析与获取攻击者 IP
# netstat -ant|awk /^tcp/{++S[$NF]} END{for(a in S) print(a,S[a])}# netstat -anlp|grep 80|grep tcp|awk {print $5}|awk -F: {print $1}|sort|uniq -c|sort -nr|head -n20 | netstat -ant |awk /:80/{split($5,ip,":");++A[ip[1]]}END{for(i in A) print A[i],i} |sort -rn|head -n20