有没有这样的脚本，每隔５秒锺就检查一下半连接状态。

wsgtrsys · 发表于 2005-4-29 12:54:20

我这样问的目的在于防止syn-flood攻击。
有没有这样的脚本，每隔５分锺就检查一下半连接状态，如果来自某个IP的连接超过20个，则马上调用iptables规则将其drop掉。

我在网上找了很久都找不到。。。

yongjian · 发表于 2005-4-29 14:15:46

你这描述基本上都能把程序写下来了。
while true; do
...blabla
...blabla
sleep 5m
done

作为daemon使用。

wsgtrsys · 发表于 2005-4-29 18:22:46

问题是怎样能够统计到20个想同的IP地址？
netstat -an | grep FIN_WAIT_2

lzlz · 发表于 2005-4-29 19:17:50

这样的程序，最好用C写

比如用BPF可以直接检测非常复杂的IP规则，用libpcap同样也应该能比较容易的完成类似功能

DSL · 发表于 2005-4-30 00:55:57

Post by wsgtrsys
我这样问的目的在于防止syn-flood攻击。
有没有这样的脚本，每隔５分锺就检查一下半连接状态，如果来自某个IP的连接超过20个，则马上调用iptables规则将其drop掉。

我在网上找了很久都找不到。。。

继续找!

ilikeqdi · 发表于 2005-5-12 11:53:10

for i in `netstat -na|grep FIN_WAIT_2|awk '{print $５}'|awk -F":" '{print $1}'|uniq`
do
WAITIPNU=`netstat -na|grep -c $i`
if [ $WAITIPNU -ge 20 ];then
不知道可不可以呀

ilikeqdi · 发表于 2005-5-12 11:55:13

iptables 我不会　希望楼主能补全　再贴出来　大家学习一下

ilikeqdi · 发表于 2005-5-12 12:38:30

#!/bin/bash
while :
do
for i in `netstat -na|grep FIN_WAIT_2|awk '{print $4 }'|awk -F":" '{print $1}'|uniq`
do
WAITIPNU=`netstat -na|grep -c $i`
  if [ $WAITIPNU -ge 20 ];then
  iptables -A INPUT -p tcp -d "$i" -j DROP
  else
  continue
  fi
done
done
sleep 5m

不知道对不对　请大家多指教

ilikeqdi · 发表于 2005-5-12 13:49:40

soory 好像sleep放错了

bluesgone · 发表于 2005-5-14 09:49:34

我想sleep放哪里都不对，去掉sleep，用系统的job来做，然后把shell放进去，
每5分钟执行一次，shell本身是执行完毕就结束的，应该没有定时器的功能吧。

		自动登录	找回密码
密码			注册

有没有这样的脚本，每隔５秒锺就检查一下半连接状态。

浏览过的版块