企业Shell面试题5：解决DOS攻击生产案例

企业Shell面试题5：解决DOS攻击生产案例

写一个Shell脚本解决DOS攻击生产案例。

请根据web日志或者或者网络连接数，监控当某个IP并发连接数或者短时内PV达到100（读者根据实际情况设定），即调用防火墙命令封掉对应的IP。防火墙命令为：iptables-I INPUT -s IP地址 -j DROP。

 

[root@web03 scripts]# cat dos_gj.sh 
#!/bin/bash


#tt=awk '{a[$1$4]++ }END{for (i in a) print i,a[i]}' localhost_access_log.2017-11-24.txt|sort -nk2|tail -10

#获取同一时间段和同一IP共同作为下标的数组,数组下标具有唯一性
#获取后按照第二列IP进行排序,取最大10条.
#第二个awk获取IP,准备下一步防火墙封IP
#tt2=$(awk '{a[$1$4]++ }END{for (i in a) print i,a[i]}' localhost_access_log.2017-11-24.txt|sort -nk2|tail -10|awk  -F'[' '{print $1}'|sort|uniq)
#
#awk '{a[$1$4]++ }END{for (i in a) print i,a[i]}' localhost_access_log.2017-11-24.txt|sort -nk2|tail -10|awk  -F'[' '{print $1,$2}'|awk '$3>3{print $1}'|sort|uniq -c

#


for i in $(awk '{a[$1$4]++ }END{for (i in a) print i,a[i]}' localhost_access_log.2017-11-24.txt|sort -nk2|tail -10|awk  -F'[' '{print $1,$2}'|awk '$3>3{print $1}'|sort|uniq)
do

echo  $i

echo "iptables-I INPUT -s $i -j DROP"

done