OVH Community, your new community space.

[SCRIPT]Bloccare i flood


3cl1ps3
07.09.2012, 13.51
Grazie per la condivisione, Giovanni

Giovanni
07.09.2012, 11.04
Ciao,

Ho visto che c'Ŕ una discussione aperte sul "come bloccare i seccatori" automaticamente.
vi do un tips con un piccolo script bash che puo' aiutarvi

#!/bin/sh
MINIMO=500
netstat -alpn | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -nr > temp_check.txt
while read line; do
CURR_LINE_CONN=$(echo $line | cut -d" " -f1)
CURR_LINE_IP=$(echo $line | cut -d" " -f2)
if [ $CURR_LINE_CONN -lt $MINIMO ]; then
break
fi
#ESCLUDIAMO IL VOSTRO SERVER (IP PUBBLICO E LOCALHOST)
#SE AVETE ALTRI INDIRIZZI IP CREATE ANCORA UN BLOCCO if
#STESSA COSA SE AVETE ALTRI SERVER CHE TENGONO COMUNICAZIONI APERTE

if [ $CURR_LINE_IP == 'IPDELVOSTROSERVER' ]; then
break
fi
if [ $CURR_LINE_IP == '127.0.0.1' ]; then
break
fi
#BANNIAMO L'IP SOSPETTO
/sbin/iptables -A INPUT -s $CURR_LINE_IP -j REJECT
/sbin/iptables -A INPUT -s $CURR_LINE_IP -j DROP
done < ETNET_checking.txt
#Clear del File
rm temp_check.txt
touch temp_check.txt
Il minimo corrsponde al numero massimo di connessioni aperte per ip.
Questo Ŕ proprio il sunto dello script (Non ho potuto incollarvi tutte le parti per ragioni di siurezza).
Logicamente potete fare che le regole siano comuni su tutti i vostri server, potete farvi inviare delle email, o fare inserire in un database tutti i log degli attacchi.

Lo script funziona per attacchi con banda di 1Mbp/s minore della vostra banda.Se la banda Ŕ uguale o maggiore, rassegnatevi...Dovete comprare pi¨ banda!
In ogni caso basta dargli una ritoccatina e diventerÓ "more powerful".


Ciao!