Ayudar manualmente a nuestro firewall a rechazar ataques

Este pequeño script restringe el acceso de IP’S cuando su servidor este recibiendo un ataque. Este script solo se debe ejecutar en el momento en que detecten que el servidor este siendo atacado, su función como lo indica el titulo es ayudar al firewall a bloquear las IPS atacantes para poder restablecer el servicio más rápidamente.

El script consta de dos partes:

blockIP.sh
ataques-reading.sh

Debemos subir los scripts a la carpeta root y asignarles los permisos.

Chmod 777 blockIP.sh
Chmod 777 ataques-reading.sh

Cuando detectamos un ataque debemos entrar por consola, a la carpeta root donde están los scripts y ejecutar:

./ataques-reading.sh

1	./ataques-reading.sh

Pueden usar el script blockIP.sh para filtrar ips individuales:

./blockIP.sh LAIP 
./blockIP.sh 192.168.1.3

1 2	./blockIP.sh LAIP ./blockIP.sh 192.168.1.3

blockIP.sh

#!/bin/bash 

if [ $# -eq 0 ] ; then 
echo -e " Uso: $0 IPs_a_bloquearn" 
exit 1 
fi 

while [ $# -ne 0 ] ; do 
if [ "$1" == "127.0.0.1" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.136" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.156" ] ; then 
echo " No se bloquea $1!!!" 
else 
IP="$1" 
echo -n "Bloqueando $IP..." 
iptables -I INPUT -s $IP -j DROP 
echo -en "nRegistrando $IP..." 
echo "$IP" >> /root/blockIP.rules 
echo 
fi 
shift 
done 

exit 0

#!/bin/bash

if [ $# -eq 0 ] ; then

echo -e " Uso: $0 IPs_a_bloquearn"

exit 1

while [ $# -ne 0 ] ; do

if [ "$1" == "127.0.0.1" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.136" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.156" ] ; then

echo " No se bloquea $1!!!"

else

IP="$1"

echo -n "Bloqueando $IP..."

iptables -I INPUT -s $IP -j DROP

echo -en "nRegistrando $IP..."

echo "$IP" >> /root/blockIP.rules

echo

shift

done

exit 0

ataques-reading.sh

#!/bin/bash 

cd /root 
CONTADOR=0 

while true ; do 
[ "$1" == "-d" ] && echo -e "nEntro al whilen" 
for IP in $(netstat -napt | grep -E "SYN_RECV|_WAIT" | sort -n -k 5 | awk '{print $5}' | cut -d':' -f 1 | sort -u | grep -vE "170.210.15[2-6]|127.0.0.1|170.210.156" ; do 
CANT=$(netstat -napt | grep "$IP" | wc -l) 
[ "$1" == "-d" ] && echo "Entro al for - $IP - $CANT" 
if [ $CANT -gt 15 ] ; then 
(iptables -nL | grep -qw $IP) && continue 
CONTADOR=$[CONTADOR+1] 
echo "$IP: $CANT conexiones - CONTADOR: $CONTADOR" 
/root/blockIP.sh $IP 
/etc/init.d/apache2 restart 2>/dev/null 
/etc/init.d/postgres restart 2>/dev/null 
if [ $CONTADOR -eq 20 ] ; then 
CONTADOR=0 
fi 
echo 
fi 
done 
sleep 5 
done 

exit

#!/bin/bash

cd /root

CONTADOR=0

while true ; do

[ "$1" == "-d" ] && echo -e "nEntro al whilen"

for IP in $(netstat -napt | grep -E "SYN_RECV|_WAIT" | sort -n -k 5 | awk '{print $5}' | cut -d':' -f 1 | sort -u | grep -vE "170.210.15[2-6]|127.0.0.1|170.210.156" ; do

CANT=$(netstat -napt | grep "$IP" | wc -l)

[ "$1" == "-d" ] && echo "Entro al for - $IP - $CANT"

if [ $CANT -gt 15 ] ; then

(iptables -nL | grep -qw $IP) && continue

CONTADOR=$[CONTADOR+1]

echo "$IP: $CANT conexiones - CONTADOR: $CONTADOR"

/root/blockIP.sh $IP

/etc/init.d/apache2 restart 2>/dev/null

/etc/init.d/postgres restart 2>/dev/null

if [ $CONTADOR -eq 20 ] ; then

CONTADOR=0

echo

done

sleep 5

done

exit

Nota: En el ejemplo 170.210.156 es la IP de salida del servidor. debe colocar la suya.
Reiniciar apache y la base de datos.

/etc/init.d/apache2 restart 2>/dev/null 
/etc/init.d/postgres restart 2>/dev/null

1 2	/etc/init.d/apache2 restart 2>/dev/null /etc/init.d/postgres restart 2>/dev/null

Ya lo tenemos preparado para ejecutarse en cualquier momento.

Ayudar manualmente a nuestro firewall a rechazar ataques

5 (100%) 2 Votos

Ayudar manualmente a nuestro firewall a rechazar ataques

Agregar comentario

Cancelar respuesta