通过shell脚本防止端口扫描
2013-12-16 16:20
417 查看
网上有现在的防端口工具如psad、portsentry但觉得配置有点麻烦且服务器不想再装一个额外的软件。所以可以自己写个shell脚本实现这个功能。基本思路是使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP并结合inotify-tools工具实时监控iptables的日志一旦iptables日志文件有写入新的ip记录则使用iptables封锁源ip起到了防止端口扫描的功能。
1、iptables规则设置
新建脚本iptables.sh执行此脚本。
IPT="/sbin/iptables"
$IPT --delete-chain
$IPT --flush
#Default Policy
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
#INPUT Chain
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
#OUTPUT Chain
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#iptables save
service iptables save
service iptables restart
注意17-18行的两条规则务必在INPUT链的最下面其它规则自己可以补充。
2、iptables日志位置更改
编辑/etc/syslog.conf添加
kern.warning /var/log/iptables.log
重启syslog
/etc/init.d/syslog restart
3、防端口扫描shell脚本
首先安装inotify:
yum install inotify-tools
保存以下代码为ban-portscan.sh
btime=600 #封ip的时间
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
done
执行命令开始启用端口防扫描
nohup ./ban-portscan.sh &
脚本下载:http://pan.baidu.com/s/1rdLVe
本文出自 “从心开始” 博客,请务必保留此出处http://hao360.blog.51cto.com/5820068/1341157
1、iptables规则设置
新建脚本iptables.sh执行此脚本。
IPT="/sbin/iptables"
$IPT --delete-chain
$IPT --flush
#Default Policy
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
#INPUT Chain
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
#OUTPUT Chain
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#iptables save
service iptables save
service iptables restart
注意17-18行的两条规则务必在INPUT链的最下面其它规则自己可以补充。
2、iptables日志位置更改
编辑/etc/syslog.conf添加
kern.warning /var/log/iptables.log
重启syslog
/etc/init.d/syslog restart
3、防端口扫描shell脚本
首先安装inotify:
yum install inotify-tools
保存以下代码为ban-portscan.sh
btime=600 #封ip的时间
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
done
执行命令开始启用端口防扫描
nohup ./ban-portscan.sh &
脚本下载:http://pan.baidu.com/s/1rdLVe
本文出自 “从心开始” 博客,请务必保留此出处http://hao360.blog.51cto.com/5820068/1341157
相关文章推荐
- 防止端口扫描shell脚本
- shell脚本结合iptables防端口扫描的实现
- 防止黑客通过nmap 扫描 服务器开发的端口
- shell脚本使用iptables防端口扫描的一段代码
- 自动扫描局域网并且发现指定端口开放的主机ip的shell脚本
- shell脚本结合iptables防端口扫描的实现
- Mac 通过shell脚本进入指定目录
- Linux通过shell脚本实现JDK版本之间的快速切换
- 通过ant调用shell脚本执行adb命令
- cygwin安装教程以及使用notepad++编写shell脚本,并通过cygwin运行
- Git学习-->如何通过Shell脚本自动定时将Gitlab备份文件复制到远程服务器?
- linux下防止syn攻击,端口扫描和死亡之ping
- IOS 通过脚本自动打包工具 webfrogs/xcode_shell
- 防止黑客扫描ssh端口 修改端口号——超详细 推荐
- 通过Git WebHooks+脚本实现自动更新发布代码之shell脚本
- 通过短信发送LOG归类号码发送情况的shell脚本
- shell 脚本通过nginx日志封访问频率过高的IP
- Java通过SSH2协议执行远程Shell脚本(ganymed-ssh2-build210.jar)
- 简单高效的端口扫描python脚本
- 通过shell脚本进行数据库操作