在Linux服務(wù)器安全運(yùn)維實(shí)踐中�,針對(duì)非必要國(guó)外IP訪問的屏蔽及CC攻擊的有效攔截��,是提升服務(wù)器安全防護(hù)能力的重要手段����。本文將詳細(xì)介紹通過開源工具實(shí)現(xiàn)上述功能的操作步驟與核心邏輯,為服務(wù)器安全加固提供實(shí)踐參考����。
屏蔽國(guó)外IP訪問
為精準(zhǔn)限制非國(guó)內(nèi)IP的訪問請(qǐng)求���,需先獲取最新的中國(guó)IPv4地址網(wǎng)段數(shù)據(jù)�。通過SSH遠(yuǎn)程登錄服務(wù)器后���,執(zhí)行以下命令從亞太網(wǎng)絡(luò)信息中心(APNIC)官方數(shù)據(jù)源提取國(guó)內(nèi)IP網(wǎng)段���,并將結(jié)果保存至/root/china_ssr.txt文件:
```bash
wget -q --timeout=60 -O- 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | awk -F\| '/CN\|ipv4/ { printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > /root/china_ssr.txt
```
該命令利用wget獲取APNIC最新 delegations 數(shù)據(jù),并通過awk字段處理提取中國(guó)(CN)的IPv4地址段�,結(jié)合子網(wǎng)掩碼計(jì)算生成標(biāo)準(zhǔn)CIDR格式網(wǎng)段列表。
隨后�,將以下腳本內(nèi)容保存為/root/allcn.sh文件,并通過`chmod +x allcn.sh`命令賦予可執(zhí)行權(quán)限:
```bash
mmode=$1
CNIP="/root/china_ssr.txt"
gen_iplist() {
cat <$(cat ${CNIP:=/dev/null} 2>/dev/null)
EOF
}
flush_r() {
iptables -F ALLCNRULE 2>/dev/null
iptables -D INPUT -p tcp -j ALLCNRULE 2>/dev/null
iptables -X ALLCNRULE 2>/dev/null
ipset -X allcn 2>/dev/null
}
mstart() {
ipset create allcn hash:net 2>/dev/null
ipset -! -R <$(gen_iplist | sed -e "s/^/add allcn /")
EOF
iptables -N ALLCNRULE
iptables -I INPUT -p tcp -j ALLCNRULE
iptables -A ALLCNRULE -s 127.0.0.0/8 -j RETURN
iptables -A ALLCNRULE -s 169.254.0.0/16 -j RETURN
iptables -A ALLCNRULE -s 224.0.0.0/4 -j RETURN
iptables -A ALLCNRULE -s 255.255.255.255 -j RETURN
iptables -A ALLCNRULE -m set --match-set allcn src -j RETURN
iptables -A ALLCNRULE -p tcp -j DROP
}
if [ "$mmode" == "stop" ] ;then
flush_r
exit 0
fi
flush_r
sleep 1
mstart
```
該腳本通過ipset工具管理國(guó)內(nèi)IP集合,結(jié)合iptables實(shí)現(xiàn)精細(xì)化訪問控制�。其中,gen_iplist函數(shù)負(fù)責(zé)讀取已下載的國(guó)內(nèi)IP網(wǎng)段列表�����;flush_r函數(shù)用于清理歷史規(guī)則鏈��,避免規(guī)則沖突��;mstart函數(shù)則創(chuàng)建名為allcn的ipset集合���,導(dǎo)入國(guó)內(nèi)IP網(wǎng)段��,并構(gòu)建INPUT鏈規(guī)則��,允許國(guó)內(nèi)IP訪問��,攔截非國(guó)內(nèi)TCP連接�。
執(zhí)行`/root/allcn.sh`即可啟動(dòng)IP攔截策略,系統(tǒng)將自動(dòng)丟棄來自非國(guó)內(nèi)IP地址的TCP連接請(qǐng)求��;若需停止攔截���,執(zhí)行`/root/allcn.sh stop`命令即可清理相關(guān)規(guī)則���。
CC攻擊防御策略
基于并發(fā)連接數(shù)的IP攔截
通過分析當(dāng)前TCP連接狀態(tài),可快速識(shí)別異常并發(fā)訪問的IP地址����。創(chuàng)建/root/deny_1.sh腳本,實(shí)現(xiàn)自動(dòng)化攔截邏輯:
```bash
#!/bin/bash
if [[ -z $1 ]];then
num=100
else
num=$1
fi
cd $(cd $(dirname $BASH_SOURCE) && pwd)
iplist=`netstat -an |grep ^tcp.:80|egrep -v 'LISTEN|127.0.0.1'|awk -F"[ ]+|[:]" '{print $6}'|sort|uniq -c|sort -rn|awk -v str=$num '{if ($1>str){print $2} fi}'`
if [[ ! -z $iplist ]];then
for black_ip in $iplist
do
ip_section=`echo $black_ip | awk -F"." '{print $1"."$2"."$3}'`
grep -q $ip_section ./white_ip.txt
if [[ $? -eq 0 ]];then
echo $black_ip >>./recheck_ip.txt
else
iptables -nL | grep $black_ip || iptables -I INPUT -s $black_ip -j DROP
echo $black_ip >>./black_ip.txt
fi
done
fi
```
腳本通過netstat命令統(tǒng)計(jì)當(dāng)前80端口的TCP連接����,提取源IP地址并計(jì)算連接數(shù),對(duì)超過閾值(默認(rèn)100)的IP進(jìn)行攔截�����。同時(shí)��,通過white_ip.txt文件實(shí)現(xiàn)白名單機(jī)制,若IP段與白名單條目匹配����,則記錄至recheck_ip.txt待人工核查,避免誤攔截正常用戶�。執(zhí)行`chmod +x deny_1.sh && sh deny_1.sh`即可啟動(dòng)攔截,被攔截IP將記錄至black_ip.txt文件�����。
基于日志特征的攻擊IP過濾
通過分析網(wǎng)站訪問日志中的異常訪問模式�����,可精準(zhǔn)定位惡意IP���。創(chuàng)建/root/deny_2.sh腳本,實(shí)現(xiàn)基于日志特征的攔截:
```bash
#!/bin/bash
OLD_IFS=$IFS
IFS=$'\n'
for status in `cat 網(wǎng)站訪問日志路徑 | grep '特征字符' | grep -v '127.0.0.1' | awk '{print $1}' |sort -n | uniq -c | sort -n -r | head -20`
do
IFS=$OLD_IFS
NUM=`echo $status | awk '{print $1}'`
IP=`echo $status | awk '{print $2}'`
if [ -z "`iptables -nvL | grep "dpt:80" | awk '{print $8}' | grep "$IP"`" ];then
if [ $NUM -gt 250 ];then
/sbin/iptables -I INPUT -p tcp -s $IP --dport 80 -j DROP
fi
fi
done
```
腳本通過分析日志中的特征字符(如高頻請(qǐng)求路徑�、惡意參數(shù)等),統(tǒng)計(jì)IP訪問次數(shù)�����,對(duì)超過閾值(默認(rèn)250)的IP實(shí)施攔截�����。執(zhí)行前需將原日志文件重命名,確保分析數(shù)據(jù)為當(dāng)前實(shí)時(shí)日志����。建議通過crontab添加定時(shí)任務(wù)(如/20 /root/deny_2.sh >dev/null 2>&1),實(shí)現(xiàn)自動(dòng)化防御�。
注意事項(xiàng)
1. CDN環(huán)境適配:若服務(wù)器使用CDN加速(如百度云加速),訪問來源為CDN節(jié)點(diǎn)IP��,直接攔截可能導(dǎo)致誤傷�,建議結(jié)合CDN服務(wù)商的防護(hù)策略配置。
2. 白名單機(jī)制:方式1中����,與white_ip.txt匹配的IP段將進(jìn)入recheck_ip.txt,需定期核查避免正常用戶被誤攔截��。
3. 日志管理:方式2執(zhí)行前務(wù)必重命名原日志文件�����,確保分析數(shù)據(jù)的準(zhǔn)確性��,避免歷史日志干擾判斷�。
4. 攔截時(shí)長(zhǎng)控制:不建議長(zhǎng)時(shí)間啟用攔截策略,待服務(wù)器負(fù)載正常、攻擊停止后����,應(yīng)及時(shí)清理規(guī)則,恢復(fù)服務(wù)正常訪問����。
5. 規(guī)則驗(yàn)證:實(shí)施攔截后,可通過`iptables -L -n`命令驗(yàn)證規(guī)則生效情況���,確保符合預(yù)期防護(hù)效果��。
