[原创]利用ip_conntrack表实现封ip的shell脚本,并有简单的web发布

wwy

在下学习shell时间不长, 在此版中收益非潜, 增加了偶的学习积极性和学习效率
知道版主鼓励原创, 故在下发此贴支持版主工作
初来乍到, 还望各位高人指点.  :thank

===============================================
基本原理:
通过过滤ip_conntrack表得到ESTABLISHED状态过多的ip, 然后用iptabels封掉一段时间,同时用hping工具将这些ip从表中清理掉,最后将被封的ip和一些其他信息写到一个html页中,做简单的发布

关于hping:
下载: http://www.hping.org/download.html
安装: ./configure;make;make install
相关联接: http://chinaunix.net/jh/4/367999.html

默认功能:
1, 当一个ip在ip_conntrack表中的ESTABLISHED状态在30-50之间时, 此ip被封10分钟,同时在ip_conntrack表中的记录被清除;50-100之间封15分钟,同时清表;100以上封30分钟,同时清表,
2, 然后生成web页
/var/www/html/wwy/drop/index.html   --- 显示被封的ip, 和cpu状态等信息
/var/www/html/wwy/all/index.html   --- 每一个ip的连接情况
3, 生成简单的日志
/tmp/killip/tmp.log.txt

使用方法:
1, 需要安装hping
2, 建议将脚本放到计划任务中
3, 建议安装并开启apache, 为支持简单的web发布,
默认为 http://127.0.0.1/l/wwy/drop/index.htm
4, 如果表的大小大于20mb请慎用

====================================================

1. 
   
2. #!/bin/bash
   
3. #
   
4. #---------------------------------------------------------------------------------------
   
5. #Scrip name: killip, base on ip_conntrack, write by wwy.
   
6. #---------------------------------------------------------------------------------------
   
7. 
   
8. cpu=`sar -u 1 1 | awk '{print $7}' | tail -1`%
   
9. #
   
10. while [ "`pidof sleep`" ];do
    
11.         echo "she is running, sorry"
    
12.         exit 1
    
13. done
    
14. if [ ! "`lsmod | grep ip_conntrack`" ]; then
    
15.          modprobe ip_conntrack
    
16. fi
    
17. 
    
18. ####################################
    
19. ##---------------------- functions -----------------------------##
    
20. ####################################
    
21. 
    
22. function make_clr {
    
23.         while read clr33;do
    
24.                 cat /tmp/tmp111.txt | grep $clr33 >> /tmp/tmp33-3-clr.txt
    
25.         done < /tmp/tmp33-3.txt
    
26.         while read clr22;do
    
27.                 cat /tmp/tmp111.txt | grep $clr22 >> /tmp/tmp33-2-clr.txt
    
28.         done < /tmp/tmp33-2.txt
    
29.         while read clr11;do
    
30.                 cat /tmp/tmp111.txt | grep $clr11 >> /tmp/tmp33-1-clr.txt
    
31.         done < /tmp/tmp33-1.txt
    
32. }
    
33. function clr_conns {
    
34.         S_IP=$1
    
35.         D_IP=$2
    
36.         S_PORT=$3
    
37.         D_PORT=$4
    
38.         hping2 $D_IP -R -s $S_PORT -p $D_PORT -a $S_IP -k -c 1 >/dev/null 2>/dev/null &
    
39. }
    
40. function kill() {
    
41.         SLEEP_TIME=$1
    
42.         CLR_LIST=$2
    
43.         BLACK_LIST=$3
    
44.         while read blackip;do
    
45.                 iptables -I FORWARD 2 -i eth0 -s $blackip/32  -j DROP
    
46.         done < $BLACK_LIST
    
47.         sleep $SLEEP_TIME
    
48.         #-----------------------------------#
    
49.         while read clr3;do
    
50.                 clr_conns $clr3
    
51.         done < $CLR_LIST
    
52.         #-----------------------------------#
    
53.         sleep 1
    
54.         while read reblackip;do
    
55.                 iptables -D FORWARD -i eth0 -s $reblackip/32  -j DROP
    
56.         done < $BLACK_LIST
    
57. 
    
58. }
    
59. #####################################
    
60. ##--------------- To make a "black list" ----------------------##
    
61. #####################################
    
62. 
    
63. echo > /tmp/tmp11.txt
    
64. echo > /tmp/tmp111.txt
    
65. echo > /tmp/ip_conntrack.tmp
    
66. echo > /tmp/tmp33-3-clr.txt
    
67. echo > /tmp/tmp33-2-clr.txt
    
68. echo > /tmp/tmp33-1-clr.txt
    
69. echo > /tmp/tmp22-3.txt
    
70. echo > /tmp/tmp22-2.txt
    
71. echo > /tmp/tmp22-1.txt
    
72. echo > /tmp/tmp33-3.txt
    
73. echo > /tmp/tmp33-2.txt
    
74. echo > /tmp/tmp33-1.txt
    
75. if [ ! -e /var/www/html/wwy/index.html ];then
    
76.         mkdir /var/www/html/wwy/
    
77.         mkdir /var/www/html/wwy/all
    
78.         mkdir /var/www/html/wwy/drop
    
79. 5B
    
80.         touch /var/www/html/wwy/index.html
    
81. fi
    
82. #----------------------------------------------------------------------------#
    
83. echo -e "cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp ......\c"
    
84. cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp
    
85. echo -e "done!\n"
    
86. sleep 1
    
87. #----------------------------------------------------------------------------#
    
88. wc=`cat /tmp/ip_conntrack.tmp|grep ESTABLISHED|awk -F= '{print $2,$3,$4,$5}'|grep ^172. |sort|awk '{print $1,$3,$5,$7}'|tee /tmp/tmp111.txt|awk '{print $1}'|uniq -c|tee /tmp/tmp11.txt|wc -l`
    
89. date=`date '+%m/%d %H:%M'`
    
90. cpu2=`sar -u 1 1 | awk '{print $7}' | tail -1`%
    
91. date2=`date '+%H'`
    
92. #----------------------------------------------------------------------------#
    
93. sleep 1
    
94. #----------------------------------------------------------------------------#
    
95. #if [ "$wc" -gt 2500 ] && [ "$date2" -gt 10 ]
    
96. if [ "$wc" -ge 0 ]
    
97. then
    
98. #------------------------------
    
99.         awk '{$1}{if ($1>30 && $1<50) print $2}' /tmp/tmp11.txt > /tmp/tmp22-1.txt
    
100.         awk '{$1}{if ($1>=50 && $1<100) print $2}' /tmp/tmp11.txt > /tmp/tmp22-2.txt
     
101.         awk '{$1}{if ($1>=100) print $2}' /tmp/tmp11.txt > /tmp/tmp22-3.txt
     
102.         cut -c1-15 /tmp/tmp22-1.txt > /tmp/tmp33-1.txt
     
103.         cut -c1-15 /tmp/tmp22-2.txt > /tmp/tmp33-2.txt
     
104.         cut -c1-15 /tmp/tmp22-3.txt > /tmp/tmp33-3.txt
     
105.         wcblackip1=`cat /tmp/tmp33-1.txt | wc -l`
     
106.         wcblackip2=`cat /tmp/tmp33-2.txt | wc -l`
     
107.         wcblackip3=`cat /tmp/tmp33-3.txt | wc -l`
     
108. 
     
109. ######################################
     
110. ##---------------- To make a index.html -----------------------##
     
111. ######################################
     
112. 
     
113.         echo "<b>If the total IPs >2500 <font color="#ff0000">(total $wc at $date)</font> AND if:</b>" > /var/www/html/wwy/drop/index.html
     
114.         echo "<p>you connect <b>">100"</b>, you ip will be killed in <b>30min</b>.</p>" >>/var/www/html/wwy/drop/index.html
     
115.         echo "<p>you connect <b>"50-100"</b>, you ip will be killed in <b>15min</b>.</p>" >>/var/www/html/wwy/drop/index.html
     
116.         echo "<p>you connect <b>"30-50"</b>, you ip will be killed in <b>10min</b>.</p>" >>/var/www/html/wwy/drop/index.html
     
117.         echo "<hr color="#ff8000">" >> /var/www/html/wwy/drop/index.html
     
118.         echo "<p><b><font color="#ff0000">These IPs (total $wcblackip3 + $wcblackip2 + $wcblackip1) were killed, at <font size=5>$date</font></font>  <a href=../all>(look-up all IPs)</a></b></p>" >> /var/www/html/wwy/drop/index.html
     
119.         awk '{$1}{if ($1>=100) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>""<font color="#ff0000">"$1"</font>""\t","<b>"$2"</b>""\t""kill 30min""</p>"}' >> /var/www/html/wwy/drop/index.html
     
120.         awk '{$1}{if ($1>=50 && $1<100) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>"$1"\t","<b>"$2"</b>""\t""kill 15min""</p>"}' >> /var/www/html/wwy/drop/index.html
     
121.         awk '{$1}{if ($1>30 && $1<50) print $1, $2}' /tmp/tmp11.txt|sort -nr|awk '{print "<p>"$1"\t","<b>"$2"</b>""\t""kill 10min""</p>"}' >> /var/www/html/wwy/drop/index.html
     
122.         echo "<p><b>You can "ctrl + F" to find your ip's connects.(total $wc IPs at $date)</b></p>" > /var/www/html/wwy/all/index.html
     
123.         echo "<p><a href=../drop> <-- back </a></p>" >> /var/www/html/wwy/all/index.html
     
124.         cat /tmp/tmp11.txt | sort -nr | awk '{print "<p>"$1"\t",$2"\t""</p>"}' >> /var/www/html/wwy/all/index.html
     
125. 
     
126. #####################################
     
127. ##----------------- Use iptables to DROP ---------------------##
     
128. #####################################
     
129. 
     
130.         make_clr
     
131.         if [ -s /tmp/tmp33-3.txt ];then
     
132.                 kill 30m /tmp/tmp33-3-clr.txt /tmp/tmp33-3.txt &
     
133.                 sleep 1s
     
134.         fi
     
135.         if [ -s /tmp/tmp33-2.txt ];then
     
136.                 kill 15m /tmp/tmp33-2-clr.txt /tmp/tmp33-2.txt &
     
137.                 sleep 1s
     
138.         fi
     
139.         if [ -s /tmp/tmp33-1.txt ];then
     
140.                 kill 10m /tmp/tmp33-1-clr.txt /tmp/tmp33-1.txt &
     
141.                 sleep 1s
     
142.         fi
     
143. 
     
144. #-------------------------------
     
145. elif [ "$date2" -lt 5 ] && [ "$date2" -gt 3 ]
     
146. then
     
147.         while read clrall;do
     
148.                 clr_conns $clrall
     
149.         done < /tmp/tmp111.txt
     
150.         echo "clr at $date " >> /tmp/killip/tmp.log.txt
     
151. fi
     
152. 
     
153. #####################################
     
154. ##------------------- make system log ------------------------##
     
155. #####################################
     
156. if [ ! -e /tmp/killip/tmp.log.txt ]; then
     
157.         mkdir /tmp/killip
     
158.         touch /tmp/killip/tmp.log.txt
     
159. fi
     
160. echo "$wc $date $cpu $cpu2 $wcblackip3 + $wcblackip2 + $wcblackip1" >> /tmp/killip/tmp.log.txt
     
161. 
     

复制代码

Freebird

为什么不直接用netstat来获取那些ESTABLISHED信息？！

wwy

Post by Freebird
为什么不直接用netstat来获取那些ESTABLISHED信息？！

如果是做nat或route的机器，netstat就不行了

yongjian

sar这个命令不在linux的基本命令中，最好在用之前check一下。不过，非常支持原创是真的。谢谢

king.zhangyu

郁闷，我的linux（redhat 9.0 2.4.20）没有sar命令，我想请问各位大侠，哪里可以下载sar，让我装上使用。

谢谢!

king.zhangyu

已经找到，只需要安装sysstat即可，正在测试wwy的脚本，不管成功与否，都什么感谢wwy的脚本！^_^

king.zhangyu

使用sysstat就可以了，^_^，正在测试wwy的脚本

king.zhangyu

为何执行了wwy的脚本后，无法显示/var/www/html/wwy/all/index.html --- 每一个ip的连接情况，提示内容为
You can "ctrl + F" to find your ip's connects.(total 0 IPs at 07/22 16:15)

<-- back

执行脚本没有出错，[root@nci root]# ./hping
cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp ......done!

hping为脚本的名称，已经安装hping2，使用版本为（ hping2.0.0-rc3.tar.gz）
请wwy予以指教，谢谢！

kiron

Post by king.zhangyu
为何执行了wwy的脚本后，无法显示/var/www/html/wwy/all/index.html --- 每一个ip的连接情况，提示内容为
You can "ctrl + F" to find your ip's connects.(total 0 IPs at 07/22 16:15)

<-- back

执行脚本没有出错，[root@nci root]# ./hping
cp /proc/net/ip_conntrack /tmp/ip_conntrack.tmp ......done!

hping为脚本的名称，已经安装hping2，使用版本为（ hping2.0.0-rc3.tar.gz）
请wwy予以指教，谢谢！

把脚本的这几行加一个参数试一下:
        mkdir /var/www/html/wwy/
        mkdir /var/www/html/wwy/all
        mkdir /var/www/html/wwy/drop
改成:
        mkdir -p /var/www/html/wwy/
        mkdir -p /var/www/html/wwy/all
        mkdir -p /var/www/html/wwy/drop

另外要确定APACHE的主目录在/var/www/html

如果还不行,只好请wwy帮忙了.

yongjian

Post by kiron
把脚本的这几行加一个参数试一下:
        mkdir /var/www/html/wwy/
        mkdir /var/www/html/wwy/all
        mkdir /var/www/html/wwy/drop
改成:
        mkdir -p /var/www/html/wwy/
        mkdir -p /var/www/html/wwy/all
        mkdir -p /var/www/html/wwy/drop

另外要确定APACHE的主目录在/var/www/html

如果还不行,只好请wwy帮忙了.

简化一下，可以变成

1. mkdir -p /var/www/html/wwy/{all,drop}

复制代码