Arquivo da tag: requisições

Script para analisar e bloquear possíveis ataques ao servidor por meio de requisições elevadas | Shell Script + TCPDUMP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
#!/bin/bash
##
 
 # Repare que este script depende primeiramente da execucao do TCPDUMP
 # tcpdump -i any port 80 -nn | awk '{print $3}' >> origem_http_ip
 # A variavel fileAnalyze (declarada no script) condiz com o arquivo 'origem_http_ip' gerado pelo TCPDUMP.
 
##
exceptions[0]="127.0.0.1"
exceptions[1]="10.142.0.2"
exceptions[2]=$(curl -s ip.infsite.org)
fileAnalyze="origem_http_ip"
tmpFileAnalyze="/tmp/fileAnalyze-$fileAnalyze"
logResulted="$fileAnalyze.logResult"
maxRequestAccept=5000
remoteIp=""
requestNumber=""
totalRegister=0
percentageProgress=0
indexRegister=0
 
 
echo "Preparando, por favor espere..."
> short.list
echo "Relatorio iniciado em $(date +%d/%m/%Y-%H:%M:%S)" > $logResulted
cat $fileAnalyze | cut -d. -f 1-4 | sort -n | uniq -c > $tmpFileAnalyze
totalRegister=$(cat $tmpFileAnalyze | wc -l)
 
 
funcExceptions(){
    ip="$1"
    verify=1
    for e in ${exceptions[@]}
    do
        if [ "$ip" == "$e" ];then
            verify=0
            break
        fi
    done
    echo $verify
}
while read i; do
 
    remoteIp=$(echo $i | awk '{print $2}')
    requestNumber=$(echo $i | awk '{print $1}')
 
        if [ $requestNumber -ge $maxRequestAccept ];then
            if [ $(funcExceptions $remoteIp) -eq 0 ];then
                 echo "IP de excecao: $remoteIp" >> $logResulted 
             else
                 iptables -I INPUT -s $remoteIp -j DROP
                 echo "IP: $remoteIp bloqueado! $requestNumber conexoes." >> $logResulted
             fi
        fi
    percentageProgress=$(( $(( indexRegister=indexRegister+1 ))*100/$totalRegister ))
    clear && echo "$percentageProgress% de registros analisados do total de $totalRegister..."
    echo "Resultado do processo em $logResulted"
 
done < $tmpFileAnalyze
echo "Relatorio finalizado em $(date +%d/%m/%Y-%H:%M:%S)" >> $logResulted
 
# Marcelo Viana
# AMDG