用linux编写一个防止ddos攻击脚本,直接给出案例,通过shell变量的形式限制每个ip每秒钟和服务器建立的最大TCP连接数,并增加日志记录功能,违反规则则要记录时间、攻击者ip、访问端口、协议、携带报文等信息保存到/home/ddos目录下,每个日志文件最大100m,以生成时间(精确到毫秒命名)

可以使用Linux的iptables命令来编写脚本来限制每个IP地址每秒建立的最大TCP连接数。

首先，可以使用以下命令来设置每个IP地址每秒最大连接数为5：

iptables -I INPUT -p tcp --syn -i eth0 -m connlimit --connlimit-above 5 -j REJECT

然后，可以使用以下命令来记录违反规则的信息：

iptables -I INPUT -p tcp --syn -i eth0 -m connlimit --connlimit-above 5 -j LOG --log-prefix "DDOS ATTACK: " --log-level 7

最后，可以使用以下命令来将日志信息保存到/home/ddos目录下，并以生成时间命名：

logrotate -s /var/log/ddos.status /etc/logrotate.d/ddos

/var/log/ddos.log {
size 100M
rotate 5
missingok
notifempty
compress
sharedscripts
postrotate
/usr/bin/killall -HUP syslogd
endscript
}

请注意，上述命令假设你的网卡名称是eth0，如果不是，请将其替换为你的网卡名称。

此外，上述命令将只记录TCP协议的连接请求，如果你需要记录其他协议的连接请求，请更改上述命令中的"-p tcp"参数。

相关问题

用linux编写一个通用的防止ddos攻击脚本,直接给出完整的案例,无需解释,限制每个ip每秒钟和服务器建立的最大TCP连接数(shell变量配置),并增加日志记录功能,超过最大连接数则要记录时间、攻击者ip、访问端口、协议、携带报文、建立的tcp连接总数等信息保存到/home/ddos目录下,每个日志文件最大100m,以生成时间(精确到毫秒命名)

这是一个可以实现防止 DDOS 攻击的 bash 脚本示例，请注意这仅是一个示例，您可能需要根据自己的需要进行修改：

#!/bin/bash

# 配置变量
MAX_CONNECTIONS_PER_IP=100
BLOCKED_IPS_FILE="/home/ddos/blocked_ips.txt"
DDOS_LOG_DIR="/home/ddos"

# 获取当前时间
current_time=$(date +%s%3N)

# 获取连接数超过限制的 IP 列表
ip_list=$(netstat -an | grep ESTABLISHED | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | awk -v limit="$MAX_CONNECTIONS_PER_IP" '$1 > limit {print $2}')

# 对于每个 IP，检查它是否已被封禁
for ip in $ip_list
do
  # 如果 IP 已被封禁，则跳过
  grep -q "$ip" "$BLOCKED_IPS_FILE" && continue

  # 封禁 IP
  iptables -I INPUT -s "$ip" -j DROP
  echo "$ip" >> "$BLOCKED_IPS_FILE"

  # 获取连接信息
  connection_info=$(grep "$ip" <(netstat -an))

  # 记录日志
  log_file="$DDOS_LOG_DIR/$current_time.log"
  echo "$current_time $ip $connection_info" >> "$log_file"
done

# 检查日志文件大小，如果超过 100MB 则重命名
for log_file in "$DDOS_LOG_DIR"/*.log
do
  if [[ $(stat -c%s "$log_file") -ge 100000000 ]]
  then
    mv "$log_file" "$DDOS_LOG_DIR/$current_time.log"
  fi
done

将上述脚本保存为 `ddos_protection.sh`，然后运行 `chmod +x ddos_protection.sh` 使其可执行。接下来，您可以使用 `./ddos_protection.sh` 运行脚本。

您也可

用linux编写一个通用的实时在后台监测防止ddos攻击脚本,直接给出完整的案例,无需解释,限制每个ip每秒钟和服务器建立的最大TCP连接数(shell变量配置),并增加日志记录功能,超过最大连接数则要记录时间、攻击者ip、访问端口、协议、携带报文、建立的tcp连接总数等信息保存到/home/ddos目录下(shell变量配置),每个日志文件最大100MB(shell变量配置),超过100MB则要重新生成新文件,以生成时间命名(精确到毫秒)

以下是一个实时监测并防止DDOS攻击的脚本示例：

#!/bin/bash

# 设置变量
log_dir="/home/ddos" # 日志文件目录
log_file="ddos.log" # 日志文件名
max_conn=1000 # 每个IP每秒最大连接数
max_log_size=100 # 日志文件最大大小（单位：MB）

# 循环监测
while true
do
    # 获取当前秒数和毫秒数
    secs=$(date +%s)
    millis=$(date +%N)

    # 统计每个IP的连接数
    conns=$(netstat -anp | grep 'ESTABLISHED' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c)

    # 遍历每个IP
    while read -r line
    do
        # 获取IP地址和连接数
        ip=$(echo $line | awk '{print $2}')
        conn=$(echo $line | awk '{print $1}')

        # 如果连接数超过限制
        if [ $conn -gt $max_conn ]
        then
            # 获取攻击者信息
            attacker=$(geoiplookup $ip)
            port=$(netstat -anp | grep $ip | grep 'ESTABLISHED' | awk '{print $4}' | cut -d: -f2 | sort | uniq)
            protocol=$(netstat -anp | grep $ip | grep 'ESTABLISHED' | awk '{print $6}' | sort | uniq)
            packet=$(tcpdump -nn -c 1 "src $ip" | grep -oE 'length [0-9]+' | awk '{print $2}')

            # 记录日志
            echo "$secs.$millis $attacker $ip $port $protocol $packet $conn" >> $log_dir/$log_file

            # 阻止攻击
            iptables -I INPUT -s $ip -j DROP
        fi
    done <<< "$conns"

    # 检查日志文件大小
    log_size=$(du -m $log_dir/$log_file | awk '{print $1}')
    if [ $log_size -ge $max_log_size ]
    then
        mv $log_dir/$