使用 python 检测泛洪攻击的案例

DeltaTime2023-10-06 17:53

使用 python 检测泛洪攻击的案例

本案例只使用python标准库通过执行命令来监控异常请求, 并封锁IP, 不涉及其他第三方库工具.

py 复制代码 
import os
import time
from collections import Counter


# 1、update 命令, 采集CPU的平均负载
def get_cpu_load():
    """
    uptime 命令获取系统开机时间和cpu负载, 比如:
        04:02:00 up 1 day,  3:49,  1 user,  load average: 0.71, 0.48, 0.46
    利用awk命令来筛选出CPU负载:
        -F 设置拆分数据的分隔符 ': ', 如果不设置默认以空格作为分隔符
        '{print $2}' 表示打印第二列数据
    """
    cpu_load = os.popen("uptime | awk -F ': ' '{print $2}' | awk -F ',' '{print $1}'").read()
    cpu_load = float(cpu_load)
    return cpu_load


# 2、netstat 命令, 采集 tcp 的连接数量
def get_conn_count():
    """
    统计所有tcp连接数量
        -a 列出所有, -n 以数字形式显示端口, -t tcp
        wc -l 统计行数
    """
    netstat = os.popen('netstat -ant | wc -l').read()
    return int(netstat)


# 3、ss命令, 采集socket统计信息,
"""
ss命令比netstat命令更详细, 速度更快
端口队列默认大小是128, 当 Recv-Q 大于等于 Send-Q 时表示队列满了, 端口存在大量请求
"""
def get_queue_size():
    """
    统计当前的队列情况
        -l 监听状态, -n 以数字显示, -t tcp
    """
    # ss -lnt | grep :80 | awk '{print $2}' # 第二列是 Recv-Q
    # ss -lnt | grep :80 | awk '{print $3}' # 第三列是 Send-Q
    sslnt = os.popen("ss -lnt | grep :80").read()
    recv_q = int(sslnt.split()[1])
    send_q = int(sslnt.split()[2])
    return recv_q, send_q


# 4、netstat 命令, 采集连接数量最多的IP地址
def get_most_ip():
    """
    获取当前连接数量最多的IP地址
    """
    # 获取所有访问 80 端口的ip添加到列表中
    result = os.popen('netstat -ant | grep :80').read()
    line_list = result.split('\n')
    ip_list = []
    for line in line_list:
        try:
            temp_list = line.split()
            ip = temp_list[4].split(':')[0]
            ip_list.append(ip)
        except Exception as e:
            pass
    # 统计列表中出现最多的ip
    cnt = Counter(ip_list)
    # most_common(n) 返回出现次数最多的前n项元组组成的列表
    t = cnt.most_common(1)
    return t[0][0]


# 5、firewall-cmd 命令, 防火墙封锁IP地址
def firewall_ip(ip):
    """
    使用防火墙封锁ip
    :param ip: 封锁目标ip
    """
    result = os.popen(f"firewall-cmd --add-rich-rule='rule family=ipv4 source address={ip} port port=80 protocol=tcp reject'").read()
    if 'success' in result:
        print(f"成功封锁 {ip}.")
    else:
        print(f"封锁失败.")

if __name__ == '__main__':
    while 1:
        cpu = get_cpu_load()
        conn = get_conn_count()
        recvq, sendq = get_queue_size()
        print(f"CPU-Load: {cpu}, TCP Conn: {conn}, TCP Queue: {recvq, sendq}")

        # 对采集到的数据进行判断,并进行预警提醒, 封锁ip
        if cpu > 55 and conn > 500 and recvq > sendq - 10:
            ip = get_most_ip()
            print(f"预警,可疑IP:{ip}.")
            firewall_ip(ip)

        time.sleep(5)
相关推荐
兵慌码乱25 分钟前
基于 MediaPipe 与 PySide2 的手势交互音乐控制系统实现:轻量化视觉交互全流程解析
python·opencv·计算机视觉·人机交互·手势识别·mediapipe·pyside2
luckdewei3 小时前
FastAPI 资产管理系统实战:复杂 ORM 关联、Alembic 迁移与 N+1 查询优化
python
aqi009 小时前
15天学会AI应用开发(八)使用向量数据库实现RAG功能
人工智能·python·大模型·ai编程·ai应用
Csvn10 小时前
`functools.lru_cache` —— 一行代码搞定缓存加速
后端·python
金銀銅鐵1 天前
[Python] 从《千字文》中随机挑选汉字
后端·python
cup111 天前
[技术复盘] Windows Python 打包实战:Nuitka 环境踩坑总结与 CI 自动化构建全指南
python·ai·环境变量·ci·nuitka·skill
aqi001 天前
15天学会AI应用开发(七)有了大模型为什么还要引入RAG
人工智能·python·大模型·ai编程·ai应用
金銀銅鐵1 天前
用 Python 实现 Take-Away 游戏
python·游戏
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06AI科技热点日报 | 2026年6月1日07AI一周事件 · 2026-06-03 至 2026-06-0908Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析09上线仅72小时被强制下架:Claude Fable 5 的短命10Codex 下载安装指南:Windows 和 macOS 官方版下载