Linux Shell脚本检测DDoS攻击案例分析

于 2025-02-25 04:45:00 发布
阅读量380 收藏 4
点赞数 3
分类专栏: Linux系统 云计算 文章标签: linux ddos 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangxueyi/article/details/145829415
版权

文章目录

以下是一个用于检查服务器是否可能遭受DDoS攻击的Shell脚本示例,该脚本会分析网络连接状态并给出潜在攻击警告:

#!/bin/bash

# DDoS攻击检查脚本
# 设置日志文件路径
LOG_FILE="/var/log/ddos_check.log"

# 阈值设置(可根据实际情况调整)
IP_CONNECTIONS_LIMIT=100   # 单个IP的最大连接数
SYN_RECV_LIMIT=50         # SYN_RECV状态连接阈值
TOTAL_CONNECTION_LIMIT=500 # 总连接数阈值

# 获取当前时间戳
timestamp() {
    date +"%Y-%m-%d %T"
}

# 检查异常IP连接
check_ip_connections() {
    echo "[$(timestamp)] 正在检查高并发连接IP..."
    
    # 使用ss或netstat获取连接信息
    if command -v ss &> /dev/null; then
        cmd="ss -ntu | awk '{print \$6}' | cut -d: -f1 | sort | uniq -c | sort -nr"
    else
        cmd="netstat -ntu | awk '{print \$5}' | cut -d: -f1 | sort | uniq -c | sort -nr"
    fi

    eval $cmd | while read count ip; do
        if [[ "$count" -gt $IP_CONNECTIONS_LIMIT && "$ip" != "Address" ]]; then
            echo "[$(timestamp)] 警告! 疑似异常IP: $ip 当前连接数: $count" | tee -a $LOG_FILE
        fi
    done
}

# 检查SYN_RECV状态连接(SYN洪水攻击特征)
check_syn_flood() {
    echo "[$(timestamp)] 正在检查SYN_RECV状态连接..."
    
    if command -v ss &> /dev/null; then
        syn_count=$(ss -n state syn-recv | wc -l)
    else
        syn_count=$(netstat -n -t | grep SYN_RECV | wc -l)
    fi

    if [[ $syn_count -gt $SYN_RECV_LIMIT ]]; then
        echo "[$(timestamp)] 警告! SYN_RECV连接数异常: $syn_count" | tee -a $LOG_FILE
    fi
}

# 检查总连接数
check_total_connections() {
    echo "[$(timestamp)] 正在检查总连接数..."
    
    if command -v ss &> /dev/null; then
        total=$(ss -s | grep "TCP:" | awk '{print $2}')
    else
        total=$(netstat -ant | wc -l)
    fi

    if [[ $total -gt $TOTAL_CONNECTION_LIMIT ]]; then
        echo "[$(timestamp)] 警告! 总连接数异常: $total" | tee -a $LOG_FILE
    fi
}

# 执行所有检查
main() {
    echo "==== 开始DDoS检查 ===="
    check_ip_connections
    check_syn_flood
    check_total_connections
    echo "==== 检查完成 ===="
}

# 以root权限运行
if [[ $EUID -ne 0 ]]; then
    echo "错误: 需要root权限运行此脚本" >&2
    exit 1
fi

main | tee -a $LOG_FILE

使用说明

  1. 保存脚本ddos_check.sh
  2. 赋予执行权限
    chmod +x ddos_check.sh
  3. 以root权限运行
    sudo ./ddos_check.sh

功能说明

  1. 异常IP检测

    • 检查单个IP的并发连接数
    • 默认阈值:100个连接(通过IP_CONNECTIONS_LIMIT调节)

  2. SYN洪水攻击检测

    • 监控SYN_RECV状态连接数
    • 默认阈值:50个(通过SYN_RECV_LIMIT调节)

  3. 总连接数监控

    • 监控服务器总连接数
    • 默认阈值:500(通过TOTAL_CONNECTION_LIMIT调节)

  4. 自动日志记录

    • 所有警告信息会记录到/var/log/ddos_check.log
    • 包含时间戳记录

建议增强措施

  1. 定时监控

    # 每5分钟执行一次检查
*/5 * * * * root /path/to/ddos_check.sh

  2. 自动阻止可疑IP(谨慎使用):

    # 在检查到异常IP时自动封锁(需要iptables)
iptables -A INPUT -s $ip -j DROP

  3. 集成专业工具

    • 使用fail2ban进行自动封锁
    • 部署Cloudflare等专业DDoS防护服务
    • 使用nloadiftop进行实时流量监控

注意事项

  • 阈值设置需要根据服务器实际负载调整
  • 本脚本只能检测基础攻击特征,复杂攻击需要专业方案
  • 生产环境建议使用专业DDoS防护设备/服务
  • 频繁检查可能影响服务器性能,建议合理设置检查间隔

建议结合网络监控工具(如Zabbix、Nagios)实现更全面的监控方案。

[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。希望您喜欢~
Linux系统shell脚本实战之解决生产ddos攻击
jks212454的博客
05-19 607
Linux系统shell脚本实战之解决生产ddos攻击
Linux下防御DDOS攻击的操作梳理
weixin_34357267的博客
04-24 410
  DDOS的全称是Distributed Denial of Service,即"分布式拒绝服务攻击",是指击者利用大量“肉鸡”对攻击目标发动大量的正常或非正常请求、耗尽目标主机资源或网络资源,从而使被攻击的主机不能为合法用户提供服务。 DDOS攻击的本质是:利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规模,噪声访问带宽成为木桶的短板。 可以参考下面的例子理解...
Linux系统用netstat命令查看DDOS攻击方法是什么
Memory1011的博客
12-18 178
转自:http://www.pinlue.com/article/2020/12/1800/4611425379601.html
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 2621
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
如何检查 Linux 服务器是否遭受 DDoS 攻击?
2401_84618514的博客
11-13 708
DDoS 是一种恶意行为,攻击发起方通过向网络发出大量请求来耗尽目标服务器所有可用资源的攻击,与标准的 DoS(拒绝服务)攻击不同:DDoS:采用多个分布式的设备:通常情况下,设备已被黑客提前入侵并安装相关木马,设备所有者不知情;攻击针对多种网络设备和协议,而不仅仅是网络端点;以下是三种主要的 DDoS 攻击类型:应用层 DDoS(OSI模型 第 7 层):重点攻击 Web 服务,如 Apache 和 Nginx 等;协议攻击(OSI模型 第 3/4 层):针对重要网络设备上的操作系统和防火墙。
Meteasploit技术
m0_65332604的博客
04-06 2345
在使用Kali操作系统是应注意即使更新源,就像平时及时更新手机APP更新命令如下: apt-get update:只更新软件包的索引源,作用:同步源的软件包的索引信息,从而进行软件更新。 Apt-get upgrade:升级系统上安装的所有软件包,如果失败则保持更新之前的状态。 Apt-get dist-upgrade:升级整个Liunux系统(不仅升级所有已安装的软件包,而且会处理升级过程中可能出现的冲突,在某些情况下,他的部分升级需要人工参与)。 渗透攻击大致步骤: *扫描目标及系统,寻找可用
Linux Shell脚本18个经典案例详解
- Dos攻击防范:通过Shell脚本实现对系统或网络服务的防攻击策略,自动检测并防御DoS(拒绝服务)或DDoS(分布式拒绝服务)攻击。 - 自动屏蔽攻击IP:脚本能够识别恶意请求的IP地址,并利用iptables或其他防火墙...
shell案例——Dos 攻击防范(自动屏蔽攻击 IP)
2402_82932277的博客
10-24 1340
自动屏蔽攻击IP的机制是通过实时监控网络流量,识别异常的、高频率或恶意的访问请求,并根据预定义的规则将这些IP列入黑名单,从而阻止他们继续访问目标服务器。-A表示追加一条规则,-s $ip表示匹配来源IP,-j DROP表示丢弃匹配到的流量。1. 没有达到阈值的连接数:如果没有任何 IP 的连接数超过了你在脚本中设置的阈值(如 `THRESHOLD=100`),脚本不会输出任何结果。此时,脚本在监控网络连接,并且没有发现连接数超过阈值的IP,所以不会有任何进一步的输出,也不会封锁任何IP。
Linux安全检测术】:NC反弹shell命令检测方法大揭秘
在信息时代,Linux系统的安全检测变得尤为重要,尤其当涉及到使用NC反弹shell命令时,其在渗透测试和安全检测中的作用不容忽视。本文首先介绍了Linux安全检测的基础概念,然后深入探讨了NC反弹shell命令的理论基础、...
安全攻击溯源思路及案例
热门推荐
10-14 3万+
在攻防的视角里,进攻方会占据比较多的主动性,而防守方则略显被动,因为作为防守方,你永远也不知道攻击会在什么时候发生。你所能做的是,做好自己该做的一切,准备好自己该准备的一切,耐心等待对手犯错的机会。 在发现有入侵者后,快速由守转攻,进行精准地溯源反制,收集攻击路径和攻击者身份信息,勾勒出完整的攻击者画像。 1、攻击源捕获 ​ 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等​...
Shell脚本攻击一例
weixin_33941350的博客
07-10 302
不知道得罪了哪路神仙,收到nagios报警,发现有个网站有CC攻击。看样子,量还不小,把服务器的负载都弄到40+了,虽然网站还能打开,但打开也是非常的缓慢。如果不是配置高点,估计服务器早就挂掉了。看来又是不一个不眠之夜了。   迅速查看一下nginx的访问日志:   #tail -f access.log   貌似全是像这样的状态。   我先紧急手动...
linux脚本攻击,一个防DDOS攻击SHELL脚本
weixin_34552166的博客
05-01 750
当遇到DDOS攻击时,可以考虑封IP来源来暂时解决,但IP源变化多端,光靠手工添加不现实,所以写了个脚本,以实现自动添加。有需要的朋友,参考下吧。1,防范ddos攻击脚本mkdir /root/binvi /root/bin/dropip.sh复制代码 代码示例:#!/bin/bash/bin/netstat -na|grep ESTABLISHED|awk ‘{print $5}’|awk ...
python ddos 检测系统_python版DDOS攻击脚本
weixin_39732991的博客
02-09 712
本文实例为大家分享了python版DDOS攻击脚本,供大家参考,具体内容如下于是就找到了我之前收藏的一篇python的文章,是关于ddos攻击的一个脚本,正好今天有空,就实践下了。附上源码pyDdos.py:#!/usr/bin/env pythonimport socketimport timeimport threading#Pressure Test,ddos tool#----------...
linux脚本攻击,恶意shell脚本攻击的方法与预防策略
weixin_26837345的博客
05-01 2855
前言网络安全对于互联网从业者而言,一直是一个重要的、绕不开的话题,PowerShell可以给运维人员带来极大的方便,但同时也是被攻击者盯上的重灾区。想想就非常可怕,攻击的人只要能从远程执行shell脚本,就能执行一些敏感的安全操作,比如篡改重要数据,修改安全配置等。所以我们有必要掌握一些恶意shell脚本攻击的方法与预防策略。PowerShell攻击方法PowerShell攻击方法一般分为两方面:...
ShellShock 攻击实验
最新发布
m0_53304143的博客
01-02 1853
ShellShock 漏洞是一个严重的安全问题,它允许攻击者通过环境变量执行任意代码。本实验通过攻击 Set-UID 程序,展示了如何利用该漏洞获取 root 权限。实验结果表明,即使在没有 setuid 的情况下,攻击者仍然有可能通过其他方式利用该漏洞。设置其为 Set-UID 程序,保证其所有者是 root。```bash$ sudo suShellShock 漏洞,也称为 Bash 漏洞,是一个严重的安全问题,它允许攻击者通过环境变量执行任意代码。
webshell是什么?网络安全攻防之webshell攻击
Galaxy_0的博客
12-29 5970
Webshell是黑客经常使用的一种恶意脚本,其目的是获得服务器的执行操作权限,常见的webshell编写语言为asp、jsp和php。比如执行系统命令、窃取用户数据、删除web页面、修改主页等,其危害不言而喻。黑客通常利用常见的漏洞,如SQL注入、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。
网络安全-反弹shell详解(攻击检测与防御)
2401_84466336的博客
04-23 8107
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值