[color=Red:93e67e9959]作者:白金 网名:platinum(chinaunix) 超超白金(白金论坛)
欢迎转载,转载请保留上述信息
=========================================================================== [/color:93e67e9959]
由于提供了FTP下载而又限制了线程,所以总发现有人不断用多线程进行尝试,这样会大大增加服务器的负荷,这种事[b:93e67e9959][color=Red:93e67e9959]“损人不利己”![/color:93e67e9959][/b:93e67e9959]
为了惩罚这种人,决定写个SHELL,在crond里每1分钟运行一次,自动统计非法线程的IP和线程数量,然后自动将他的IP地址写到iptables里,来惩罚一下他们!
在此,非常感谢“零二年的夏天”!他给了我很大的帮助!!!
这下可以惩罚一下那些贪得无厌的人了……
vi /usr/local/sbin/fuckgo
[code:1:93e67e9959]
#! /bin/bash
fuck_who()
{
netstat -an|grep "210.51.184.197:21"|grep -v LISTEN|grep -v ESTABLISHED|awk '{print $5;}'|awk -F'=' '{print $1;}'|sort|uniq -c|awk '{print $1"="$2;}'
}
for _un in $(fuck_who)
do
if [ $(echo $_un|awk -F'=' '{print $1;}') -gt 10 ]
then
iptables -I INPUT -s $(echo $_un|gawk -F'=' '{print $2;}') -p tcp --dport 21 -j DROP
fi
done
[/code:1:93e67e9959]
vi /etc/crontab
添加
[code:1:93e67e9959]
00-59/1 * * * * root /usr/local/sbin/fuckgo
[/code:1:93e67e9959]
/etc/rc.d/init.d/crond restart
具体效果可以参看
[img:93e67e9959]http://platinum.3322.org/mrtg/proftpd-day.png[/img:93e67e9959]
[color=blue:93e67e9959][b:93e67e9959]蓝色[/b:93e67e9959][/color:93e67e9959]是总连接数,[color=orange:93e67e9959][b:93e67e9959]橙色[/b:93e67e9959][/color:93e67e9959]是有效连接数
当[color=blue:93e67e9959][b:93e67e9959]蓝色[/b:93e67e9959][/color:93e67e9959]超过[color=orange:93e67e9959][b:93e67e9959]橙色[/b:93e67e9959][/color:93e67e9959]很多时,证明有人在[color=red:93e67e9959][b:93e67e9959]贪得无厌[/b:93e67e9959][/color:93e67e9959]地进行多线程尝试
从图上可以看出,[color=blue:93e67e9959][b:93e67e9959]蓝色[/b:93e67e9959][/color:93e67e9959]瞬间值很高,但转瞬而逝,不会持续很久,因为那个人的IP已经进入了iptables“黑名单”
platinum 回复于:2004-11-07 09:47:58 |
为了避免误杀(因为有很多是动态IP地址),用crond每小时执行一下[color=red:84fbfbd6c7]fuckclean[/color:84fbfbd6c7],来清除一天来被封杀过的IP 当然,如果该IP违规,[color=red:84fbfbd6c7]fuckgo[/color:84fbfbd6c7]会以每1分钟一次的频率扫描,发现之后再次封杀,再次解开就只能等第二个小时到来的时候了 vi /usr/local/sbin/fuckclean(呵呵,这回是我自己写了) [code:1:84fbfbd6c7] #! /bin/bash clean_who() { iptables -nL|grep "DROP"|grep "dpt:21"|awk '{print $4;}' } for _un in $(clean_who) do iptables -D INPUT -s $_un -p tcp --dport 21 -j DROP done [/code:1:84fbfbd6c7] |
hgkrt 回复于:2004-11-07 10:01:27 |
强呀,太需要这个啦... 感觉配合HTTP下载更是需要的.. |
platinum 回复于:2004-11-07 10:05:05 |
HTTP可能不行,HTTP是短连接,除了下载、读取网页,其他时间都是TIME_OUT,而非ESTABLISHED |
hgkrt 回复于:2004-11-07 10:08:04 |
对了,请教老兄一个问题 Linux下FTP下载如何按用户限制线程?? 兄弟用啥服务器端呢??介绍一下经验吧... |
platinum 回复于:2004-11-07 10:13:11 |
我用的是proftpd,用的是“MaxClientsPerHost 3”的方法限制 |
jeffreyli 回复于:2004-11-07 10:53:38 |
利害,,,,先收藏,,, |
hgkrt 回复于:2004-11-07 11:40:12 |
如果使用动态IP建立的站点,该如何监测呢?? 难道要每换一个IP,自己重新修改文件?? |
双眼皮的猪 回复于:2004-11-07 13:09:32 |
为什么要用crond一分钟执行一次? 在脚本里sleep 60可以吗? |
cnriver 回复于:2004-11-07 13:26:30 |
iptables -I INPUT -s $(echo $_un|gawk -F'=' '{print $2;}') -p tcp --dport 21 -j DROP 好像没有掩码? (比如 - s 210.10.10.10/32) 而且连接一多,这种过滤多,影响服务器性能。 adsl等动态ip,会存在一些问题。有些刚上网的用户不能正常ftp连接。 |
tma 回复于:2004-11-07 21:03:47 |
顶 |
platinum 回复于:2004-11-07 22:31:21 |
[quote:2ffe1899cf="cnriver"]iptables -I INPUT -s $(echo $_un|gawk -F'=' '{print $2;}') -p tcp --dport 21 -j DROP 好像没有掩码? (比如 - s 210.10.10.10/32) 而且连接一多,这种过滤多,影响服务器性能。 adsl等动态ip,会存在?.........[/quote:2ffe1899cf] 1、对host进行操作,不用32位的掩码 2、是的,大量的iptables会降低服务器性能,但与原先大量无效连接的不断重试比,简直微乎其微 |
platinum 回复于:2004-11-07 22:31:54 |
[quote:920aafc6be="双眼皮的猪"]为什么要用crond一分钟执行一次? 在脚本里sleep 60可以吗?[/quote:920aafc6be] 我对SHELL不在行 :mrgreen: |
双眼皮的猪 回复于:2004-11-07 23:27:14 |
[quote:839afb2d83="platinum"] 我对SHELL不在行 :mrgreen:[/quote:839afb2d83] 只需要sleep一下嘛,去找夏天,人家是零二年的夏天,你说人家2002的夏天,这不是一回事嘛,呵呵...人家说不定是1902年的夏天哪... |
rootding 回复于:2004-11-07 23:46:19 |
还是给自己添麻烦! |
platinum 回复于:2004-11-08 08:43:43 |
[quote:7b6f743bae="双眼皮的猪"] 只需要sleep一下嘛,去找夏天,人家是零二年的夏天,你说人家2002的夏天,这不是一回事嘛,呵呵...人家说不定是1902年的夏天哪...[/quote:7b6f743bae] 谢谢猪猪,我再改改 :mrgreen: “夏天”已经改了 :em06: |
platinum 回复于:2004-11-08 08:45:10 |
[quote:dc796233fe="rootding"]还是给自己添麻烦![/quote:dc796233fe] 给自己添什么麻烦?都是自动完成的 经过测试,效果非常明显,负载降低了很多,有机会你也可以试一下 |
tianci3982730 回复于:2004-11-08 09:03:44 |
不如用c写个守护进程来完成哦 |
studyboy 回复于:2004-11-08 14:49:51 |
我用的失netman的脚本 用来控制http和socks5 |
rrrr03 回复于:2004-11-09 15:33:45 |
牛呀,高人一堆堆的,,, |
lyxmoo 回复于:2004-11-09 17:53:15 |
不如这么样简单 : iptables -p tcp --dport 21 -m connlimit --connlimit-above 2 -j REJECT |
eagerlinuxer 回复于:2004-11-09 19:44:17 |
给2 个建义: 1、“ if [ $(echo $_un|awk -F'=' '{print $1;}') -gt 9 ] ” 最好把9改成10,因为大多数ftp客户端都会把默认线程数设成8或10。 2、 ”/usr/local/sbin/fuckclean“脚本最好半小时执行一次,这样误挡的机会及恢复时间会少很多。 我管了公司几台vsftp服务器 一般我把每线程的最大下载速率设成: anon_max_rate=50000 (也就是50KByte/s,因为好多客户端的下载工具都是用IE,所以把每线程的下载量设大了,这样一般的ADSL的IE下载用户也不会感到太慢) 我把每IP的最大连接数设成2: max_per_ip=2 (这样每ip的最大下载速度就是100KByte/s,这是为了让更多的用户能连进来) 这样我的vsftpd就会挡掉大多数用户的多线程连接,因为一个IP的最大连接只有2 :)。但我测了一下,1.4G2CPU/2GMEM的机器,在流量是50Mbit/s的情况下,系统资源占用在5%以下,还是可以接受的。 不过我觉得这个想法不错,也许其它的一些地方也可以用上。 |
platinum 回复于:2004-11-09 21:12:33 |
agerlinuxer兄说的有道理:) fuckclean也需要改正,因为我发现iptables -vL的时候,他会解析出域名,比如有的就是adsl-249-213-51-62-xxxxx.com,而不是一个具体的IP地址 所以我打算改成统计非法IP的数量,然后用for和iptables -D INPUT 1去控制 |
eagerlinuxer 回复于:2004-11-09 23:51:05 |
呵呵,用iptalbes -nL不就不会去解析域名了吗? |
platinum 回复于:2004-11-10 09:11:46 |
再次谢谢eagerlinuxer,把这个忘记了! 现在改成这个了,2楼的也去修改一下 [code:1:af8f90447c] #! /bin/bash clean_who() { iptables -nL|grep "DROP"|grep "dpt:21"|awk '{print $4;}' } for _un in $(clean_who) do iptables -D INPUT -s $_un -p tcp --dport 21 -j DROP done [/code:1:af8f90447c] |
haohaoo 回复于:2004-11-11 02:42:44 |
好像没有解封的呀,最好能多久就解封,因为IP很多动态的 |
czyf2001 回复于:2004-11-11 09:00:17 |
请问:如何得到登录用户的ip啊? 系统中存在一个通用的用户和密码,通过终端登录工具(keax , Exceed)登录到服务器端,我怎么样才能得到他们的ip呢? 并且他们的操作都应该有个日志保存文件吧? 先问第一个,如何得到他们的ip啊? 谢谢! |
zjqyb 回复于:2004-11-18 09:51:32 |
通过代理的还是封不掉 |
platinum 回复于:2004-11-20 03:11:44 |
[quote:5f8f06958e="haohaoo"]好像没有解封的呀,最好能多久就解封,因为IP很多动态的[/quote:5f8f06958e] 现在改成了1小时一次接封 |
platinum 回复于:2004-11-20 03:12:20 |
[quote:ad52eed4de="czyf2001"]请问:如何得到登录用户的ip啊? 系统中存在一个通用的用户和密码,通过终端登录工具(keax , Exceed)登录到服务器端,我怎么样才能得到他们的ip呢? 并且他们的操作都应该有个日志保存文件吧? 先问第一个,如?.........[/quote:ad52eed4de] netstat啊 |
platinum 回复于:2004-11-20 03:13:14 |
[quote:d23b624cc5="zjqyb"]通过代理的还是封不掉[/quote:d23b624cc5] 有多少封多少,不管是不是代理 真IP封真IP 私网IP封私网IP 代理IP封代理IP |
ibmsoft 回复于:2004-11-23 15:33:07 |
定! |
天下有雪 回复于:2004-11-23 20:22:41 |
好东西,收藏了,先。 |
文章来源于领测软件测试网 https://www.ltesting.net/