使用 python 检测泛洪攻击的案例

使用 python 检测泛洪攻击的案例

本案例只使用python标准库通过执行命令来监控异常请求, 并封锁IP, 不涉及其他第三方库工具.

py 复制代码
import os
import time
from collections import Counter


# 1、update 命令, 采集CPU的平均负载
def get_cpu_load():
    """
    uptime 命令获取系统开机时间和cpu负载, 比如:
        04:02:00 up 1 day,  3:49,  1 user,  load average: 0.71, 0.48, 0.46
    利用awk命令来筛选出CPU负载:
        -F 设置拆分数据的分隔符 ': ', 如果不设置默认以空格作为分隔符
        '{print $2}' 表示打印第二列数据
    """
    cpu_load = os.popen("uptime | awk -F ': ' '{print $2}' | awk -F ',' '{print $1}'").read()
    cpu_load = float(cpu_load)
    return cpu_load


# 2、netstat 命令, 采集 tcp 的连接数量
def get_conn_count():
    """
    统计所有tcp连接数量
        -a 列出所有, -n 以数字形式显示端口, -t tcp
        wc -l 统计行数
    """
    netstat = os.popen('netstat -ant | wc -l').read()
    return int(netstat)


# 3、ss命令, 采集socket统计信息,
"""
ss命令比netstat命令更详细, 速度更快
端口队列默认大小是128, 当 Recv-Q 大于等于 Send-Q 时表示队列满了, 端口存在大量请求
"""
def get_queue_size():
    """
    统计当前的队列情况
        -l 监听状态, -n 以数字显示, -t tcp
    """
    # ss -lnt | grep :80 | awk '{print $2}' # 第二列是 Recv-Q
    # ss -lnt | grep :80 | awk '{print $3}' # 第三列是 Send-Q
    sslnt = os.popen("ss -lnt | grep :80").read()
    recv_q = int(sslnt.split()[1])
    send_q = int(sslnt.split()[2])
    return recv_q, send_q


# 4、netstat 命令, 采集连接数量最多的IP地址
def get_most_ip():
    """
    获取当前连接数量最多的IP地址
    """
    # 获取所有访问 80 端口的ip添加到列表中
    result = os.popen('netstat -ant | grep :80').read()
    line_list = result.split('\n')
    ip_list = []
    for line in line_list:
        try:
            temp_list = line.split()
            ip = temp_list[4].split(':')[0]
            ip_list.append(ip)
        except Exception as e:
            pass
    # 统计列表中出现最多的ip
    cnt = Counter(ip_list)
    # most_common(n) 返回出现次数最多的前n项元组组成的列表
    t = cnt.most_common(1)
    return t[0][0]


# 5、firewall-cmd 命令, 防火墙封锁IP地址
def firewall_ip(ip):
    """
    使用防火墙封锁ip
    :param ip: 封锁目标ip
    """
    result = os.popen(f"firewall-cmd --add-rich-rule='rule family=ipv4 source address={ip} port port=80 protocol=tcp reject'").read()
    if 'success' in result:
        print(f"成功封锁 {ip}.")
    else:
        print(f"封锁失败.")

if __name__ == '__main__':
    while 1:
        cpu = get_cpu_load()
        conn = get_conn_count()
        recvq, sendq = get_queue_size()
        print(f"CPU-Load: {cpu}, TCP Conn: {conn}, TCP Queue: {recvq, sendq}")

        # 对采集到的数据进行判断,并进行预警提醒, 封锁ip
        if cpu > 55 and conn > 500 and recvq > sendq - 10:
            ip = get_most_ip()
            print(f"预警,可疑IP:{ip}.")
            firewall_ip(ip)

        time.sleep(5)
相关推荐
数据智能老司机4 小时前
精通 Python 设计模式——分布式系统模式
python·设计模式·架构
数据智能老司机5 小时前
精通 Python 设计模式——并发与异步模式
python·设计模式·编程语言
数据智能老司机5 小时前
精通 Python 设计模式——测试模式
python·设计模式·架构
数据智能老司机5 小时前
精通 Python 设计模式——性能模式
python·设计模式·架构
c8i5 小时前
drf初步梳理
python·django
每日AI新事件5 小时前
python的异步函数
python
这里有鱼汤6 小时前
miniQMT下载历史行情数据太慢怎么办?一招提速10倍!
前端·python
databook15 小时前
Manim实现脉冲闪烁特效
后端·python·动效
程序设计实验室16 小时前
2025年了,在 Django 之外,Python Web 框架还能怎么选?
python
倔强青铜三17 小时前
苦练Python第46天:文件写入与上下文管理器
人工智能·python·面试