自动统计日志文件中IP出现次数并添加iptables规则的实现方法

在网络安全领域,我们经常需要监控服务器的访问日志,并根据IP地址出现的频率来判断是否存在恶意访问。本文将介绍如何使用PHP编写一个脚本,自动统计日志文件中IP出现的次数,并根据设定的阈值自动添加iptables规则来阻止恶意IP的访问。

步骤:

1、首先,我们需要编写一个PHP函数来统计日志文件中IP出现的次数。函数的代码如下:
php 复制代码
function countIPOccurrences($logFile) {
    $ipCounts = array();

    $handle = fopen($logFile, 'r');
    if ($handle) {
        while (($line = fgets($handle)) !== false) {
            preg_match('/\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/', $line, $matches);
            if (!empty($matches)) {
                $ip = $matches[0];

                if (array_key_exists($ip, $ipCounts)) {
                    $ipCounts[$ip]++;
                } else {
                    $ipCounts[$ip] = 1;
                }
            }
        }
        fclose($handle);
    }

    return $ipCounts;
}

里面具体正则根据你的log文件的情况来

2、接下来,我们需要获取当前日期,并构建日志文件的路径。代码如下:
php 复制代码
$date = date('Y-m-d');
$logFile = '/home/mydemo/storage/logs/special-'.$date.'.log';
3、然后调用上述函数来统计IP出现的次数,并将结果保存到一个数组中。代码如下:
php 复制代码
$ipOccurrences = countIPOccurrences($logFile);
4、接下来,我们需要读取已添加的iptables规则列表。代码如下:
php 复制代码
$ips = fopen('/home/mydemo/storage/logs/iptables_rules.txt', 'r');
$ipArr = [];
if ($ips) {
    while(($ip = fgets($ips)) !== false) {
        array_push($ipArr, $ip);
    }
    fclose($ips);
}
5、然后,我们遍历IP出现次数的数组,并根据设定的阈值判断是否需要添加iptables规则。如果IP出现次数超过阈值并且该IP不在已添加的规则列表中,则执行添加规则的操作。代码如下:
php 复制代码
foreach ($ipOccurrences as $ip => $count) {
    if ($count > 200 && !in_array($ip, $ips)) {
        $output = shell_exec('sh ' . '/home/mydemo/app/Sh/iptables.sh'. ' '.$ip);
        array_push($ipArr, $ip);

        // 将数组转换为带换行符的文本
        $ipText = implode('', $ipArr);

        // 打开文件追加模式
        $ips = fopen('/home/mydemo/storage/logs/iptables_rules.txt', 'a');

        if ($ips) {
            // 写入文本到文件
            fwrite($ips, $ip);
            fclose($ips);
        }

        echo "IP: $ip | Occurrences: $count" . PHP_EOL;
    }
}
6、最后,你可以将上述代码整理成一个完整的PHP脚本,并在服务器上定期运行该脚本来自动统计IP出现次数并添加iptables规则。

/home/mydemo/app/Sh/iptables.sh

bash 复制代码
echo "<<<<<<<<<<< 参数一:$1 <<<<<<<<"
sudo iptables -A INPUT -s $1 -j DROP >> /home/goodMorningAndNight/api/storage/logs/iptables.log 2>&1 &
相关推荐
代码炼金术士15 分钟前
服务器更换jar包,重启后端服务
服务器·jar
郝学胜-神的一滴17 分钟前
深入探索 Python 元组:从基础到高级应用
运维·服务器·开发语言·python·程序人生
CheungChunChiu21 分钟前
嵌入式 Linux 启动机制全解析:从 Boot 到 Rootfs
linux·运维·服务器·ubuntu·uboot·boot·extboot
白鹭22 分钟前
nginx(介绍+源码安装+平滑升级和回滚)
linux·运维·服务器·nginx·回滚·平滑升级
与天仙漫步星海39 分钟前
OSPF协议原理讲解和实际配置(华为/思科)
网络
知星小度S3 小时前
系统核心解析:深入操作系统内部机制——进程管理与控制指南(一)【进程/PCB】
linux·运维·服务器·进程
编码浪子6 小时前
趣味学RUST基础篇(异步)
服务器·rust·负载均衡
爱睡觉的圈圈7 小时前
分布式IP代理集群架构与智能调度系统
分布式·tcp/ip·架构
技术猿188702783517 小时前
PHP 与 WebAssembly 的 “天然隔阂”
开发语言·php·wasm
九河云7 小时前
华为云 GaussDB:金融级高可用数据库,为核心业务保驾护航
网络·数据库·科技·金融·华为云·gaussdb