通過shell指令碼防止埠掃描
網上有現在的防埠工具如psad、portsentry但覺得配置有點麻煩且伺服器不想再裝一個額外的軟體。所以可以自己寫個shell指令碼實現這個功能。基本思路是使用iptables的recent模組記錄下在60秒鐘內掃描超過10個埠的IP並結合inotify-tools工具實時監控iptables的日誌一旦iptables日誌檔案有寫入新的ip記錄則使用iptables封鎖源ip起到了防止埠掃描的功能。
1、iptables規則設定
新建指令碼iptables.sh執行此指令碼。
IPT="/sbin/iptables"
$IPT --delete-chain
$IPT --flush
#Default Policy
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
#INPUT Chain
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A INPUT -p tcp --syn -m recent --name portscan --rcheck --seconds 60 --hitcount 10 -j LOG
$IPT -A INPUT -p tcp --syn -m recent --name portscan --set -j DROP
#OUTPUT Chain
$IPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#iptables save
service iptables save
service iptables restart
注意17-18行的兩條規則務必在INPUT鏈的最下面其它規則自己可以補充。
2、iptables日誌位置更改
編輯/etc/syslog.conf
新增kern.warning /var/log/iptables.log
重啟syslog
/etc/init.d/syslog restart
3、防埠掃描shell指令碼
首先安裝inotify:
yum install inotify-tools
儲存以下程式碼為ban-portscan.sh
btime=600 #封ip的時間
while true;do
while inotifywait -q -q -e modify /var/log/iptables.log;do
ip=`tail -1 /var/log/iptables.log | awk -F"[ =]" '{print $13}' | grep '[0−9]{1,3}\.\{3\}[0-9]\{1,3\}'`
if test -z "`/sbin/iptables -nL | grep $ip`";then
/sbin/iptables -I INPUT -s $ip -j DROP
{
sleep $btime && /sbin/iptables -D INPUT -s $ip -j DROP
} &
fi
done
done
執行命令開始啟用埠防掃描
nohup ./ban-portscan.sh &
相關文章
- python掃描埠Python
- 埠掃描器
- [ Shell ] 通過 Shell 指令碼匯出 CDL 網表指令碼
- redis的bigkey掃描指令碼Redis指令碼
- [ Shell ] 通過 Shell 指令碼匯出 GDSII/OASIS 檔案指令碼
- Zenmap(埠掃描工具)
- Redis大key掃描Python指令碼RedisPython指令碼
- Python-FTP漏洞掃描指令碼PythonFTP指令碼
- 通過shell指令碼 批量新增使用者指令碼
- 淺談埠掃描原理
- 2.awd初階_指令碼掃描指令碼
- 通過shell指令碼批量操作mysql資料庫指令碼MySql資料庫
- Go 實現埠掃描器Go
- 基於python編寫一個簡單的多執行緒埠掃描指令碼Python執行緒指令碼
- 通過shell指令碼檢測MySQL服務資訊指令碼MySql
- 在Linux中,什麼是埠掃描?如何使用工具如nmap進行埠掃描?Linux
- GO語言 實現埠掃描Go
- 通過Python掃描程式碼關鍵字並進行預警Python
- Linux通過Shell指令碼命令修改密碼不需要互動Linux指令碼密碼
- RustScan: 能在3秒內掃描65k個埠的Rust掃描工具Rust
- 通過 shell 指令碼完成 GitLab11.9.11 的一鍵安裝指令碼Gitlab
- 案例:通過shell指令碼實現mysql資料備份與清理指令碼MySql
- [20190221]使用nmap掃描埠的問題.txt
- C#實現掃碼槍串列埠通訊C#串列埠
- shell指令碼指令碼
- Nmap繞過防火牆掃描防火牆
- 埠掃描工具nmap的常用引數講解
- 記學習滲透測試之掃描埠
- shell指令碼案例指令碼
- 常用shell指令碼指令碼
- Linux Shell指令碼Linux指令碼
- 滲透測試之主機探測與埠掃描
- “快檔通”掃描識別系統
- shell指令碼(6)-shell陣列指令碼陣列
- 通過shell指令碼和企業微信實現報警功能(完整版)指令碼
- AWVS掃描器掃描web漏洞操作Web
- 全表掃描和全索引掃描索引
- iOS 掃描二維碼/條形碼iOS