shell脚本结合iptables防端口扫描的实现
网上有现在的防端口工具,如psad、portsentry,但觉得配置有点麻烦,且服务器不想再装一个额外的软件。所以自己就写了个shell脚本实现这个功能。基本思路是:使用iptables的recent模块记录下在60秒钟内扫描超过10个端口的IP,并结合inotify-tools工具实时监控iptables的日志,一旦iptables日志文件有写入新的ip记录,则使用iptables封锁源ip,起到了防止端口扫描的功能。
1、iptables规则设置
新建脚本iptables.sh,执行此脚本。
IPT="/sbin/iptables" $IPT --delete-chain $IPT --flush #Default Policy $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT DROP #INPUT Chain $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT $IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT $IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG $IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP #OUTPUT Chain $IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT $IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT #iptables save service iptables save service iptables restart
注意:17-18行的两条规则务必在INPUT链的最下面,其它规则自己可以补充。
2、iptables日志位置更改
编辑/etc/syslog.conf,添加:
kern.warning /var/log/iptables.log
重启syslog
/etc/init.d/syslog restart
3、防端口扫描shell脚本
首先安装inotify:
yum install inotify-tools
保存以下代码为ban-portscan.sh
btime=600 #封ip的时间
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '\([0-9]\{1,3\}\.\)\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
done
执行命令开始启用端口防扫描
nohup ./ban-portscan.sh &
-
端口扫描是指利用TCP/UDP扫描工具检测服务器TCP端口的分配及提供的服务和它们的软件版本。 G01“防端口扫描”功能通限制单个IP单位时间内允许扫描的端口数目来防止黑客通过端口扫描工具获取服务器敏感信息,而扫描的端口超过设置数目时则对扫描IP锁定一定时间。 打开“防端口扫描”功能界面,即可根据自身服务器情况进行详细设置。默认为10秒内扫描端口超过10个则锁定60分钟。
-
本文向大家介绍Shell实现的iptables管理脚本分享,包括了Shell实现的iptables管理脚本分享的使用技巧和注意事项,需要的朋友参考一下 以前的脚本是用save模式,现在把命令附加到一个文件里面,这样的话,可以方便的二次修改什么的 脚本基本是这样的,大家可以跟自己的情况再次修改~ 增加功能什么的。
-
这一章将会演示如何通过Python的网络连接来开发一个基础的端口扫描器,我们的设计思路是使用socket一遍又一遍的去连接ip与端口的组合的新值,为了方面我们能够快速的完成它,首先需要介绍一点新的概念,for循环: >>> >>> for port in range(1000,1024): ... print "[+] The port is: "+str(port) ... [+] The
-
本文向大家介绍一键配置CentOS iptables防火墙的Shell脚本分享,包括了一键配置CentOS iptables防火墙的Shell脚本分享的使用技巧和注意事项,需要的朋友参考一下 手里几台VPS配置iptables太繁琐,看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本,借来改了一下,给需要的人用; 只提供常用端口的设置,如果你有特殊需求只需自行添加或减少相应的端口
-
本文向大家介绍Shell脚本实现监控iptables运行状态,包括了Shell脚本实现监控iptables运行状态的使用技巧和注意事项,需要的朋友参考一下 最近在调试服务器的iptables,自己做了个定时关iptables,但晚上回家很少开电脑,所以就没法去启动iptables,当然你可能会说,为什么不取消定时关闭iptables,我只能说个人的环境不一样,需求也就不一样. 脚本内容: vi i
-
本文向大家介绍python 实现端口扫描工具,包括了python 实现端口扫描工具的使用技巧和注意事项,需要的朋友参考一下 以上就是python 实现端口扫描工具的详细内容,更多关于python 端口扫描工具的资料请关注呐喊教程其它相关文章!