Shell脚本配合iptables屏蔽来自某个国家的IP访问
星期六我们一位客户受到攻击,我们的网络监测显示有连续6小时的巨大异常流量,我们立即联系了客户,没有得到回应,我们修改和限制了客户的VPS,使得个别VPS受攻击不会对整个服务器和其他VPS用户造成任何影响,我们一直保持这个VPS为开通状态(尽管一直受攻击),攻击又持续了24小时,星期天攻击仍在继续,我们忍无可忍,但是仍然无法联系到客户,我们向客户网站的另一负责人询问是否需要我们介入来帮助解决,这位负责人答应后我们立即投入到与DDoS的战斗中(我们动态扫描屏蔽坏IP,现在客户网站已恢复。整个过程很有意思,以后有时间再写一篇博客来描述)。登录到客户VPS第一件事情就是查当前连接和IP,来自中国的大量IP不断侵占80端口,典型的DDoS.所以第一件事是切断攻击源,既然攻击只攻80端口,那有很多办法可以切断,直接关闭网站服务器、直接用防火墙/iptables切断80端口或者关闭所有连接、把VPS网络关掉、换一个IP,⋯,等等。因为攻击源在国内,所以我们决定切断来自国内的所有访问,这样看上去网站好像是被墙了而不是被攻击了,有助于维护客户网站的光辉形象,那么如何屏蔽来自某个特定国家的IP呢?
方法很容易,先到IPdeny下载以国家代码编制好的IP地址列表,比如下载cn.zone:
#wgethttp://www.ipdeny.com/ipblocks/data/countries/cn.zone
有了国家的所有IP地址,要想屏蔽这些IP就很容易了,直接写个脚本逐行读取cn.zone文件并加入到iptables中:
#!/bin/bash #Blocktrafficfromaspecificcountry #writtenbyvpsee.com
COUNTRY="cn" IPTABLES=/sbin/iptables EGREP=/bin/egrep
if["$(id-u)"!="0"];then echo"youmustberoot"1>&2 exit1 fi
resetrules(){ $IPTABLES-F $IPTABLES-tnat-F $IPTABLES-tmangle-F $IPTABLES-X }
resetrules
forcin$COUNTRY do country_file=$c.zone
IPS=$($EGREP-v"^#|^$"$country_file) foripin$IPS do echo"blocking$ip" $IPTABLES-AINPUT-s$ip-jDROP done done
exit0