Shell脚本实现自动封禁恶意扫描IP

楠目2025-08-09 19:55

iptables 简介

我们使用iptables工具实现功能

iptables 是 Linux 系统上最常用的防火墙工具,可以指定策略。

Shell文件创建

首先我们先创建文件scanners.sh

复制代码 
vim /usr/local/bin/auto_block_ip.sh

我的目标是每10分钟自动扫描,再10分钟内一个IP访问50次以上就就封禁1天。时间到了后再自动放出来。

第一步 定义部分参数

复制代码 
BAN_IPSET="malicious_ips"  # ipset集合名称
SCAN_THRESHOLD=50          # 10分钟内访问50次触发封禁
BAN_DURATION=$((24*60*60)) # 封禁持续时间(秒),24小时
EXCLUDE_IPS="127.0.0.1 0.0.0.0 192.168.253.1" # 排除的IP列表

第二步 创建iptables规则

复制代码 
# 创建ipset集合(如果不存在)
if ! ipset list $BAN_IPSET >/dev/null 2>&1; then
    ipset create $BAN_IPSET hash:ip timeout $BAN_DURATION
fi

# 添加iptables规则(如果不存在)
if ! iptables -C INPUT -m set --match-set $BAN_IPSET src -j DROP >/dev/null 2>&1; then
    iptables -I INPUT -m set --match-set $BAN_IPSET src -j DROP
fi

第三步 添加IP检测和封禁机制

复制代码 
# 获取所有非排除IP的连接计数
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | grep -vE "$(echo $EXCLUDE_IPS | sed 's/ /|/g')" | uniq -c | \
while read count ip; do
    # 检查是否超过阈值且未被封禁
    if [ $count -gt $SCAN_THRESHOLD ] && ! ipset test $BAN_IPSET $ip >/dev/null 2>&1; then
        # 封禁IP
        ipset add $BAN_IPSET $ip timeout $BAN_DURATION
        echo "$(date '+%Y-%m-%d %H:%M:%S') - 封禁IP: $ip (访问次数: $count)" >> /var/log/ip_block.log
    fi
done

第四步 设置自动执行时间

复制代码 
# 设置定时任务
(crontab -l 2>/dev/null; echo "*/10 * * * * /usr/local/bin/auto_block_ip.sh") | crontab -

第五步 测试脚本功能以及脚本使用命令

复制代码 
# 给脚本执行权限
chmod +x /usr/local/bin/auto_block_ip.sh

# 手动测试脚本
/usr/local/bin/auto_block_ip.sh

# 查看封禁日志
tail -f /var/log/ip_block.log

# 查看当前封禁IP列表
ipset list $BAN_IPSET

# 手动解封IP
ipset del $BAN_IPSET IP地址

# 清空所有封禁
ipset flush $BAN_IPSET

# 删除整个ipset集合
ipset destroy $BAN_IPSE

附:

复制代码 
#!/bin/bash

# 配置参数
BAN_IPSET="malicious_ips"
SCAN_THRESHOLD=50
BAN_DURATION=$((24*60*60))
EXCLUDE_IPS="127.0.0.1 0.0.0.0 192.168.253.1"

# 创建ipset集合
if ! ipset list $BAN_IPSET >/dev/null 2>&1; then
    ipset create $BAN_IPSET hash:ip timeout $BAN_DURATION
fi

# 添加iptables规则
if ! iptables -C INPUT -m set --match-set $BAN_IPSET src -j DROP >/dev/null 2>&1; then
    iptables -I INPUT -m set --match-set $BAN_IPSET src -j DROP
fi

# 检测并封禁IP
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | grep -vE "$(echo $EXCLUDE_IPS | sed 's/ /|/g')" | uniq -c | \
while read count ip; do
    if [ $count -gt $SCAN_THRESHOLD ] && ! ipset test $BAN_IPSET $ip >/dev/null 2>&1; then
        ipset add $BAN_IPSET $ip timeout $BAN_DURATION
        echo "$(date '+%Y-%m-%d %H:%M:%S') - 封禁IP: $ip (访问次数: $count)" >> /var/log/ip_block.log
    fi
done
相关推荐
Oflycomm39 分钟前
工业以太网四大主流协议(EtherCAT/PROFINET/EtherNet/IP/Modbus)技术参数深度对比
网络·网络协议·tcp/ip·欧飞信·plc模组
weixin_5142531840 分钟前
511-qwen3.5-patch
服务器
yong99901 小时前
C# 实时查看硬件使用率(CPU 内存 硬盘 网络)
开发语言·网络·c#
kobesdu1 小时前
【ROS2实战笔记-18】ROS2 通信的隐秘控制:DDS 配置参数如何决定系统性能
网络·人工智能·笔记·机器人·开源·ros·人形机器人
wangl_922 小时前
Modbus RTU 与 Modbus TCP 深入指南-现代替代协议
网络·网络协议·tcp/ip·tcp·modbus·rtu
wanhengidc3 小时前
服务器中带宽的重要性
运维·服务器·网络·安全·web安全
189228048614 小时前
H27QCG8T2ELR-BCF海力士H27QCG8UDBIR-BCB
大数据·服务器·人工智能·科技·缓存
霸道流氓气质5 小时前
SpringAIAlibaba整合 Streamable HTTP 调用免费 MCP Server 实战全解
网络·网络协议·http
Lust Dusk5 小时前
移动安全资产--MobSF工具搭建教程
网络·安全·web安全·安全架构
сокол5 小时前
【网安-Web渗透测试-内网渗透】局域网ARP攻击与DNS劫持
服务器·网络·网络安全
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结06Windows端Codex接入第三方模型(DeekSeek,BaiLian)07Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)08要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法09codex app每次打开重连5次Reconnecting问题解决10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法