打造自动化DOS攻击防御系统:一键屏蔽恶意IP

在网络安全领域，DOS（拒绝服务）攻击一直是令人头疼的问题。这类攻击通过大量无用的服务请求拥塞目标系统，导致合法用户无法获得服务。为了有效应对这种攻击，我们需要一种能够自动识别和屏蔽攻击源IP的解决方案。下面，我们就来介绍一个实用的Bash脚本，它能分析Nginx访问日志，自动发现并屏蔽频繁访问的异常IP。

这个脚本首先会获取当前时间，并从Nginx的访问日志中筛选出最近5000条记录。然后，它会检查这些记录中，与当前日期相关且访问次数超过10次的IP地址。这些频繁访问的IP被视为潜在的DOS攻击源。

脚本内容如下：

#!/bin/bash  
DATE=$(date +%d/%b/%Y:%H:%M)  
#nginx日志路径  
LOG_FILE=/usr/local/nginx/logs/demo2.access.log  
#分析ip的访问情况，找出异常IP  
ABNORMAL_IP=$(tail -n5000 $LOG_FILE | grep $DATE | awk '{a[$1]++} END {for(i in a) if(a[i]>10) print i}')  
#对每一个异常IP进行处理  
for IP in $ABNORMAL_IP; do  
    #检查iptables规则中是否已经存在该IP的屏蔽规则  
    if [ $(iptables -vnL | grep -c "$IP") -eq 0 ]; then  
        #如果没有，则添加屏蔽规则，并记录日志  
        iptables -I INPUT -s $IP -j DROP  
        echo "$(date +'%F_%T') $IP" >> /tmp/drop_ip.log  
    fi  
done

这个脚本的工作原理很简单但非常有效。它首先通过tail命令获取Nginx日志文件的最后5000行，然后使用grep和awk命令分析这些日志，找出访问频率过高的IP地址。接下来，脚本会检查iptables防火墙规则，看看是否已经屏蔽了这些IP。如果没有，就使用iptables命令添加屏蔽规则，并将相关信息记录到/tmp/drop_ip.log日志文件中。

通过这种方式，我们可以实现对DOS攻击的快速响应和自动屏蔽，大大提高服务器的安全性。同时，通过查看/tmp/drop_ip.log文件，我们还可以追踪到哪些IP地址被屏蔽，这对于后续的安全分析和处理也非常有帮助。

总的来说，这个简单的Bash脚本为我们的服务器安全提供了一层额外的保障。在网络安全日益重要的今天，这种自动化的防御机制无疑是我们抵御DOS攻击的有力武器。