Linux Shell脚本教程：根据Web访问日志封禁和解封请求量异常的IP地址

在本篇文章中，我们将探讨一个在Linux系统管理中非常实用的Shell脚本编写任务，即如何编写一个脚本来根据Web访问日志封禁请求量异常的IP，并在半小时后若IP恢复正常则解除封禁。

这样的脚本对于防范DDoS攻击等网络攻击非常有用。

脚本设计思路

在设计这个Shell脚本时，我们主要需要处理以下几个部分：解析Web访问日志，封禁异常IP，定时解除封禁。

• 解析Web访问日志：我们需要解析Web服务器的访问日志，找出请求量异常的IP，这可以通过awk和sort命令配合来实现。
• 封禁异常IP：找出异常IP后，我们需要使用iptables来封禁这些IP。
• 定时解除封禁：封禁后，我们需要设置一个定时任务，在半小时后解除封禁，这可以通过at命令来实现。

脚本编写

由于该任务涉及到的内容较多，我们分为两个脚本来实现。

一个是用来封禁异常IP的ban_ip.sh，另一个是用来解除封禁的unban_ip.sh。

以下是封禁异常IP的ban_ip.sh：

#!/bin/bash

# 定义请求量阈值
threshold=1000

# 解析Web访问日志，找出请求量超过阈值的IP
ip_list=$(awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | awk -v t=$threshold '{if($1>t)print $2}')

# 封禁异常IP
for ip in $ip_list
do
    iptables -I INPUT -s $ip -j DROP
    # 在半小时后解除封禁
    echo "iptables -D INPUT -s $ip -j DROP" | at now + 30 minutes
done

以下是解除封禁的unban_ip.sh，这个脚本会被at命令调用：

#!/bin/bash

# 解析参数，获取要解除封禁的IP
ip=$1

# 解除封禁
iptables -D INPUT -s $ip -j DROP

脚本测试

将上述两个脚本保存为ban_ip.sh和unban_ip.sh，并赋予其执行权限chmod +x ban_ip.sh unban_ip.sh。

然后你可以直接运行ban_ip.sh来封禁异常IP，并在半小时后解除封禁。

结语

在Linux系统管理中，根据Web访问日志封禁和解封请求量异常的IP是一项非常重要的任务。