Shell脚本配合iptables屏蔽来自某个国家的IP访问

星期六我们子公司受到攻击,我们的网络监测显示有连续6小时的巨大异常流量,我立即联系在场IT,没有得到回应,我修改和限制了他们的 VPS,使得个别 VPS 受攻击不会对整个服务器和其他 VPS 用户造成任何影响,我们一直保持这个 VPS 为开通状态(尽管一直受攻击),攻击又持续了24小时,星期天攻击仍在继续,我们忍无可忍,立即投入到与 DDoS 的战斗中(我们动态扫描屏蔽坏 IP,现在网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到 VPS 第一件事情就是查当前连接和 IP,来自中国的大量 IP 不断侵占80端口,典型的 DDoS. 所以第一件事是切断攻击源,既然攻击只攻80端口,那有很多办法可以切断,直接关闭网站服务器、直接用防火墙/iptables 切断80端口或者关闭所有连接、把 VPS 网络关掉、换一个 IP,⋯,等等。因为攻击源在国内,所以我们决定切断来自国内的所有访问,这样看上去网站好像是被墙了而不是被攻击了,有助于维护客户网站的光辉形象,那么如何屏蔽来自某个特定国家的 IP 呢?

方法很容易,先到 IPdeny 下载以国家代码编制好的 IP 地址列表,比如下载 cn.zone: 复制代码 代码如下:

wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone

有了国家的所有 IP 地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中: 复制代码 代码如下:

#!/bin/bash
# Block traffic from a specific country

COUNTRY="cn"
IPTABLES=/sbin/iptables
EGREP=/bin/egrep
if [ "$(id -u)" != "0" ]; then
   echo "you must be root" 1>&2
   exit 1
fi
resetrules() {
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
}
resetrules
for c in $COUNTRY
do
        country_file=$c.zone
        IPS=$($EGREP -v "^#|^$" $country_file)
        for ip in $IPS
        do
           echo "blocking $ip"
           $IPTABLES -A INPUT -s $ip -j DROP
        done
done
exit 0

好 IP 和坏 IP 都被屏蔽掉了,这种办法当然不高明,屏蔽 IP 也没有解决被攻击的问题,但是是解决问题的第一步,屏蔽了攻击源以后我们才有带宽、时间和心情去检查 VPS 的安全问题。我们被攻击的网络流量,在18点到0点所有带宽都被攻击流量占用,这时候客户无法登录 VPS,访问者也无法访问网站!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏软件开发

Quartz.NET实现作业调度

一、Quartz.NET介绍 Quartz.NET是一个强大、开源、轻量的作业调度框架,是 OpenSymphony 的 Quartz API 的.NET移植,...

308100
来自专栏安恒信息

IE10 0day漏洞被利用窃取军事情报

安全公司FireEye的研究人员发现了一个新的IE10 0day漏洞 (CVE-2014-0322) ,被攻击者利用发动偷渡下载攻击(Wateri...

27780
来自专栏贺嘉的专栏

如何用Baas快速在腾讯云上开发小程序之系列3 :实现腾讯云COS API调用

本文分享了调用腾讯云对象存储(COS)接口,实现将图片上传到指定的 Bucket 功能;同时封装图片上传接口,用于实现微信小程序中上传商品图片功能。

1.1K00
来自专栏安恒信息

不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

病毒相关 Q 为什么此次勒索病毒“永恒之蓝”感染人数如此之多? A 此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,只要是Windows ...

36090
来自专栏FreeBuf

NSA武器库Esteemaudit黑客工具复现

一、导语 继2017年5月12号肆虐全球的WannaCry勒索病毒攻击后,安全专家向正在使用Windows XP和Windows Server 2003的用户...

37990
来自专栏FreeBuf

揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

最近,以色列安全公司GuardiCore发现了一个名为Bondnet的僵尸网络,该僵尸网络由数万台被控制的具备不同功率的服务器肉鸡组成。从目前的情况来看,幕后运...

261100
来自专栏张戈的专栏

Shell+Curl网站健康状态检查脚本,抓出中国博客联盟失联站点

一开始搭建中国博客联盟,既有博友提醒我,做网址大全这类网站维护很麻烦,需要大量的精力去 Debug 一些已夭折的网站,更是拿松哥的博客大全举例。当然,我也是深以...

44270
来自专栏黑白安全

俄罗斯 Telegrab 恶意软件获取桌面版 Telegram 的凭证、cookie、桌面缓存和关键文件

思科 Talos 集团的安全专家发现了一种新型的恶意软件 Telegrab ,针对桌面版端到端加密即时消息服务 Telegram 发起攻击。

8420
来自专栏FreeBuf

新勒索软件“Defray”可通过Microsoft Word文档传播

? 我们最初观察到该勒索病毒的命令和控制(C&C)服务器主机名为:“defrayable-listings[.]000webhostapp[.]com”。因此...

37470
来自专栏二次元

程序员日常中病毒系列

事情是这样的,一朋友发来源码让我看下,手残不小心点到里头的一个exe文件,弹出联网请求,我便迅速关掉,之后发现同目录多了一个伪装成系统音乐文件夹的exe可执行...

14800

扫码关注云+社区

领取腾讯云代金券