linux , nginx: 封禁IP的办法【转】

时间:2021-09-06 07:46:35

今天,我们的一台服务器出了问题: 被若干IP地址访问某个接口,该接口会发送短信。

所以,我们可以做两件事: 1. nginx的层面封IP 。  2  linux server的层面封IP

先看nginx : 非常简单,  加上  deny xxx.x.x.x; 就可以了。

linux的层面:  iptables -I INPUT -s 110.7.48.47 -j DROP

就可以把某个IP封掉。

目测,后者更方便一些。

在nginx 层面的封禁, req还是会打进来, 让nginx 返回 403,  占用资源。

还可以把以上步骤做成自动化的脚本,

参考: http://www.cnblogs.com/huligong1234/p/7189426.html

下面是如何做成自动化的封禁IP

直接一步到位:

1. 修改crontab :    $ crontab -e

*/ * * * * sh /opt/check_black_ip.sh

2. 增加这个文件:

tail -n10000 /usr/local/nginx/logs/access.log | awk '{print $1,$7}' | grep send_login_token | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if($1>30)print "deny "$2";"}' > /usr/local/nginx/conf/blacklist.append.conf
/usr/local/nginx/sbin/nginx -s reload

3. 确保你的nginx配置如下:

http{
# ....
include blacklist.conf;
}

下面是具体的原理和过程:

1. 确定好nginx的日志文件的位置,  例如:   /usr/local/nginx/logs/access.log  ( 如果你用了logrotate, 那么这个文件可能是每天更新一次 )

2. 使用命令:

$ tail -n50000 /usr/local/nginx/logs/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | | awk '{if($1>100)print "deny "$2";"}'

第一部分:  awk '{print $1}'  只打印出 所有log的ip (第一个被空格截断的内容)

sort 是排序(按照字母顺序)

uniq -c 是对所有内容进行去重,并且计数

sort -rn 是反向排序。 根据计数的结果。

所以,上面的命令,会给出如下结果:

 182.84.132.13
117.82.174.128
182.150.146.215
182.148.58.231
116.7.219.28
182.150.28.110
36.7.122.26

最后一部分的:  awk '{if($1>100) .... }'是一个bash脚本,会找到所有出现过100次的ip, 然后输出一段deny这样的文本:

deny 182.84.132.13;
deny 117.82.174.128;
deny 182.150.146.215;
deny 182.148.58.231;
deny 116.7.219.28;
deny 182.150.28.110;
deny 36.7.122.26;
deny 110.7.48.47;
deny 124.127.182.6;
deny 110.188.153.219;

最后的最后,把上数的结果, 使用 ">" (覆盖文件)  或者 ">>" (追加文件) 操作符到blacklist.conf文件中。 完整命令为:

$ tail -n50000 /usr/local/nginx/logs/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if($1>100)print "deny "$2";"}' >> /usr/local/nginx/conf/blacklist.conf

nginx中的配置如下:

http{
# ....
include blacklist.conf;
}

进一步的,我们可以只针对某个url的访问进行统计, 代码如下:

$ tail -n10000 /usr/local/nginx/logs/access.log | awk '{print $1,$7}' | grep send_login_token | awk '{print $1}' | sort | uniq -c | sort -rn | awk '{if($1>30)print "deny "$2";"}' >> /usr/local/nginx/conf/blacklist.conf

上面代码,会查看过去10000行nginx记录,找到对于访问 "/interface/..../send_login_token " 的request, 进行ip的计数,对于超过30次访问的,直接封ip

根据当前时刻的ip访问, 自动封禁ip 的脚本.

列出当前时刻, 所有的请求数大于10的ip地址: netstat -an | grep ^tcp.*:80 | egrep -v 'LISTEN|127.0.0.1' | awk -F"[ ]+|[:]" '{print $6}' | sort | uniq -c |sort -rn | awk '{ if ($1>10){print $2}}'

解释:

1. netstat -an -a 表示列出所有, -n 表示列出来的都是 数字(例如 3.3.3.4 , 而不是名称) 例如:

# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 127.0.0.1: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 172.18.230.209: 118.112.56.229: TIME_WAIT
tcp 172.18.230.209: 218.5.173.146: ESTABLISHED
tcp 172.18.230.209: 182.84.139.53: ESTABLISHED
tcp 172.18.230.209: 218.5.173.146: ESTABLISHED
tcp 172.18.230.209: 140.205.140.205: CLOSE_WAIT

2. $ netstat -an |grep ^tcp.*:80 是对当前的链接中,找到所有的要访问80端口的请求. 例如:

# netstat -an | grep ^tcp.*:
tcp 0.0.0.0: 0.0.0.0:* LISTEN
tcp 172.18.230.209: 118.112.56.229: TIME_WAIT
tcp 172.18.230.209: 118.112.56.229: ESTABLISHED
tcp 172.18.230.209: 140.205.140.205: CLOSE_WAIT
tcp 172.18.230.209: 182.84.139.53: TIME_WAIT
tcp 172.18.230.209: 180.108.11.25: TIME_WAIT

3. $ netstat -an |grep ^tcp.*:80 | egrep -v 'LISTEN|127.0.0.1' , 这句话是对 "127.0.0.1' 或者 LISTEN 做个排除. 去掉本地的请求, 去掉 正在 LISTEN的接口

4. awk -F"[ ]+|[:]" '{print $6}' 这里是对结果做个处理, 把某一行的结果, 按照 空格或者 ':' 冒号来分割,取得第六个.(起始的是第一个), 例如:

tcp               172.18.230.209:       118.112.56.229:     TIME_WAIT

按照空格或者: 来分割的话,第六个就是 118.112.56.229, 这个就是正在请求的IP

5. sort: 按照字母顺序排序. uniq -c 表示 去重,并且加上 出现的次数. sort -r 表示 翻转排序. -n 表示按照数字的大小排序.

6. awk '{if ($1>$num){print $2}} 处理结果, 找到满足条件的, 然后打印出来.

完整版, 根据每秒ip的访问上线,来自动封禁的脚本 :

#!/bin/bash
num= # 每秒某个ip的访问上限
list=`netstat -an |grep ^tcp.*:|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk '{if ($1>$num){print $2}}'`
for i in $list
do
iptables -I INPUT -s $i --dport -j DROP
done

解封IP的方法

先用这个命令看到所有被封禁的IP $ iptables -L -n -v --line-numbers

iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT packets, bytes)
num pkts bytes target prot opt in out source destination
DROP all -- * * 45.77.183.135 0.0.0.0/
DROP all -- * * 120.239.199.152 0.0.0.0/
DROP all -- * * 47.52.132.105 0.0.0.0/

然后用这个命令恢复:  iptables -D INPUT ( 例如:iptables -D INPUT 1 就是删掉上面的第一条 45.77.183.135 )

转自

linux , nginx: 封禁IP的办法 (自动化脚本封ip, 根据瞬时的请求总量,或者根据日志 - 为程序员服务 http://ju.outofmemory.cn/entry/343736

linux , nginx: 封禁IP的办法【转】的更多相关文章

  1. linux 封禁ip

    可以直接服务配置nginx.conf 添加 deny+IP 例如: 封禁单个IP deny 106.5.76.83; #封整个段即从123.0.0.1到123.255.255.254的命令deny 1 ...

  2. openresty开发系列38--通过Lua+Redis 实现动态封禁IP

    openresty开发系列38--通过Lua+Redis 实现动态封禁IP 一)需求背景为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单.对于黑名单之内的 IP ,拒绝 ...

  3. Nginx 通过 Lua + Redis 实现动态封禁 IP

    一.背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单.对于黑名单之内的 IP ,拒绝提供服务. 二.架构 实现 IP 黑名单的功能有很多途径: 1.在操作系统层面 ...

  4. 【Nginx】如何封禁IP和IP段?看完这篇我会了!!

    写在前面 Nginx不仅仅只是一款反向代理和负载均衡服务器,它还能提供很多强大的功能,例如:限流.缓存.黑白名单和灰度发布等等.在之前的文章中,我们已经介绍了Nginx提供的这些功能.小伙伴们可以到[ ...

  5. nginx 查看访问 IP 并封禁 IP 详解

    1.查找服务器所有访问者ip方法: awk '{print $1}' nginx_access.log |sort |uniq -c|sort -n nginx.access.log 为nginx访问 ...

  6. Shell—实现DDOS攻击自动封禁IP

    需求:请根据web日志或者或者网络连接数,监控当某个IP并发连接数或者短时内PV达到100,即调用防火墙命令封掉对应的IP. 防火墙命令为:iptables-I INPUT -s IP地址 -j DR ...

  7. linux nginx大量TIME_WAIT的解决办法--转

    netstat -n | awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}' TIME_WAIT 8535 CLOSE_WAIT 5 FIN ...

  8. [转载]实现DDOS攻击自动封禁IP

    1 #!/bin/bash 2 ############################################################# 3 # File Name: ddos_ch ...

  9. 使用haproxy的ACL封禁IP

    http://www.360doc.com/content/11/1226/13/834950_175075893.shtml 该方法,用户访问得到的是403页面 或者尝试用http-request拒 ...

随机推荐

  1. 开大你的音响,感受HTML5 Audio API带来的视听盛宴

    话说HTML5的炫酷真的是让我爱不释手,即使在这个提到IE就伤心不完的年代.但话又说回来,追求卓越Web创造更美世界这样高的追求什么时候又与IE沾过边儿呢?所以当你在看本文并且我们开始讨论HTML5等 ...

  2. Maven在Windows上的安装与配置

    下载Maven 1.进入Maven官网下载:maven.apache.org(点击进入或复制浏览器地址栏,回车进入) 注意事项:需要大家要注意的是(截至目前2015年12月1日)最新版本的Maven3 ...

  3. 2014-3-5 星期三 [New Change && New Start]

    昨日进度: [计算方法]:起晚啦,迟到一点,有点困,可能因为睡得太晚吧! [无课]:制作IEEE标准在JAVA中的应用. [组成]:-- [多媒体]:-- [人工智能]:-- [寝室]:学习API. ...

  4. KVC vs KVO(内容为转载记录,整合大家的总结为我所用)

    KVC即key-value coding的缩写, KVO即key-value observing的缩写 假如需要掌握Key-Value Observing机制,那么需要阅读本文应该有帮助.本文提供了K ...

  5. OpenXml操作Word的一些操作总结.无word组件生成word.

    OpenXml相对于用MS提供的COM组件来生成WORD,有如下优势: 1.相对于MS 的COM组件,因为版本带来的不兼容问题,及各种会生成WORD半途会崩溃的问题. 2.对比填满一张30多页的WOR ...

  6. 单点登录SSO的实现原理

    单点登录SSO(Single Sign On)说得简单点就是在一个多系统共存的环境下,用户在一处登录后,就不用在其他系统中登录,也就是用户的一次登录能得到其他所有系统的信任.单点登录在大型网站里使用得 ...

  7. Ubuntu下安装Python绘图库Matplotlib的方法

    在安装好Python的基础上, sudo apt-get install python-numpy sudo apt-get install python-scipy sudo apt-get ins ...

  8. java中产生HttpServletRequest等作用域

    protected ServletContext getServletContext() { return ServletActionContext.getServletContext();} pro ...

  9. 自然语言交流系统 phxnet团队 创新实训 项目博客 (九)

    项目技术总结: VoiceToText的具体使用方法: 语音转文本部分是调用的科大讯飞的在线语音,它的激发方式是按键,通过按钮触发开启安卓设备的录音,此部分需要在源码中写入关于安卓权限的要求,来调用安 ...

  10. mysql水平分区

    解决问题:单表数据量过大 ALTER TABLE boc_url_log PARTITION BY RANGE (ulid) ( PARTITION log_1 VALUES LESS THAN () ...