Cloudflare自動拉黑惡意IP到防火牆和自動切換5秒盾腳本防CC攻擊

Cloudflare自動拉黑惡意IP到防火牆和自動切換5秒盾腳本防CC攻擊

Comments 0 Comment

一個朋友將自己的企業站放在XXX主機上,流量不大,但由於使用的是經常受到CC攻擊,主要表現就是IO和CPU爆增,最後就是數據庫掛掉導致網站無法訪問。一開始啟用了Cloudflare,但是攻擊者瘋狂地掃描,防禦效果一般。

為了能夠精確地識別惡意IP,在啟用了Cloudflare CDN後需要在Nginx和Apache中啟用Real IP模塊,然後利用腳本分析網站日誌,從日誌中蒐集異常IP,然後使用Cloudflare API批量將惡意IP添加到Cloudflare的防火牆當中。

當然,當網站遭遇非常強大的CC和DDoS攻擊時,我們可以啟用Cloudflare經典的5秒盾防攻擊,如果把握不了攻擊的頻率的話,可以設置一個定時任務,當系統負載超過某一個值(一般來攻擊會導致系統負載爆增),調用Cloudflare API啟用5秒盾。

一、Cloudflare自動拉黑惡意IP

1.1 找出惡意IP

利用腳本分析在一分鐘單個IP訪問的頻率,超過一定的頻率(一般來正常的訪問,一分鐘內應該不超過60次,你可以設置為更小),即認定為惡意IP。腳本如下:

  1. #/bin/bash
  2. #日誌文件,你需要改成你自己的路徑
  3. logfile=/data/wwwlogs/
  4. last_minutes=1
  5. #開始時間1分鐘之前(這裡可以修改,如果要幾分鐘之內攻擊次數多少次,這裡可以自定義)
  6. start_time=  date  + “%Y-%m-%d %H:%M:%S”  -d ‘-1 minutes’
  7. echo  $start_time
  8. #結束時間現在
  9. stop_time=` date  + “%Y-%m-%d %H:%M:%S” `
  10. echo  $stop_time
  11. cur_date= “`date +%Y-%m-%d`”
  12. echo  $cur_date
  13. #過濾出單位之間內的日誌並統計最高ip數,請替換為你的日誌路徑
  14. tac  $logfile /sky.ucblog.net_nginx.log | awk -v st= “$start_time”  -v et= “$stop_time”  ‘{t= substr ( $2 ,RSTART+14,21); if (t>=st && t<=et) {print  $0 }}’ | awk ‘{print  $1 }’ | sort | uniq -c | sort -nr >  $logfile /log_ip_top10
  15. ip_top=`cat  $logfile /log_ip_top10 | head -1 | awk ‘{print  $1 }’`
  16. ip=`cat  $logfile /log_ip_top10 | awk ‘{ if ( $1 >2)print  $2 }’`
  17. # 單位時間[1分鐘]內單ip訪問次數超過2次的ip記錄入black.txt,這裡wzfou.com為了測試設置了2,你需要改成其它的數字
  18. for  line in  $ip
  19. do
  20. echo  $line  >>  $logfile /black.txt
  21. echo  $line
  22. # 這裡還可以執行CF的API來提交數據到CF防火牆
  23. done

1.2 批量添加IP到防火牆

使用以下代碼就可以將惡意IP批量添加到Cloudflare的防火牆了,記得替換為你的Cloudflare API。

  1. #!/bin/bash
  2. # Author: Zhys
  3. #  Date  : 2018
  4. # 填Cloudflare Email郵箱
  5. CFEMAIL= “freehao123@gmail.com”
  6. # 填Cloudflare API key
  7. CFAPIKEY= “xxxxxxxxxxxxxxxx”
  8. # 填Cloudflare Zones ID 域名對應的ID
  9. ZONESID= “xxxxxxxxxxxxxxxxxxxx”
  10. # /data/wwwlogs/black.txt存放惡意攻擊的IP列表
  11. # IP一行一個。
  12. IPADDR=$(</data/wwwlogs/black.txt)
  13. # 循環提交 IPs 到 Cloudflare 防火牆黑名單
  14. # 模式(mode)有 block, challenge, whitelist, js_challenge
  15. for  IPADDR in ${IPADDR[@]};  do
  16. echo  $IPADDR
  17. curl -s -X POST  “https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules”  \
  18. -H  “X-Auth-Email: $CFEMAIL”  \
  19. -H  “X-Auth-Key: $CFAPIKEY”  \
  20. -H  “Content-Type: application/json”  \
  21. –data ‘{ “mode” : “block” , “configuration” :{ “target” : “ip” , “value” : “‘$IPADDR'” }, “notes” : “CC Attatch” }’
  22. done
  23. # 刪除 IPs 文件收拾乾淨
  24. rm -rf /data/wwwlogs/black.txt

1.3 自動找出惡意IP並添加到防火牆

直接將上面兩個腳本合併到一個腳本即可。

  1. #/bin/bash
  2. #日誌文件,你需要改成你自己的路徑
  3. logfile=/data/wwwlogs/
  4. last_minutes=1
  5. #開始時間1分鐘之前(這裡可以修改,如果要幾分鐘之內攻擊次數多少次,這裡可以自定義)
  6. start_time=  date  + “%Y-%m-%d %H:%M:%S”  -d ‘-1 minutes’
  7. echo  $start_time
  8. #結束時間現在
  9. stop_time=` date  + “%Y-%m-%d %H:%M:%S” `
  10. echo  $stop_time
  11. cur_date= “`date +%Y-%m-%d`”
  12. echo  $cur_date
  13. #過濾出單位之間內的日誌並統計最高ip數,請替換為你的日誌路徑
  14. tac  $logfile /sky.ucblog.net_nginx.log | awk -v st= “$start_time”  -v et= “$stop_time”  ‘{t= substr ( $2 ,RSTART+14,21); if (t>=st && t<=et) {print  $0 }}’ | awk ‘{print  $1 }’ | sort | uniq -c | sort -nr >  $logfile /log_ip_top10
  15. ip_top=`cat  $logfile /log_ip_top10 | head -1 | awk ‘{print  $1 }’`
  16. ip=`cat  $logfile /log_ip_top10 | awk ‘{ if ( $1 >2)print  $2 }’`
  17. # 單位時間[1分鐘]內單ip訪問次數超過2次的ip記錄入black.log,這里為了測試設置2,你需要改成其它的數字
  18. for  line in  $ip
  19. do
  20. echo  $line  >>  $logfile /black.txt
  21. echo  $line
  22. # 這裡還可以執行CF的API來提交數據到CF防火牆
  23. done
  24. # 填Cloudflare Email郵箱
  25. CFEMAIL= “freehao123@gmail.com”
  26. # 填Cloudflare API key
  27. CFAPIKEY= “xxxxxxxxxxxxxxxxxxxxxxxx”
  28. # 填Cloudflare Zones ID 域名對應的ID
  29. ZONESID= “xxxxxxxxxxxxxxxxxxxxxxxxxxx”
  30. # /data/wwwlogs/black.txt存放惡意攻擊的IP列表
  31. # IP一行一個。
  32. IPADDR=$(</data/wwwlogs/black.txt)
  33. # 循環提交 IPs 到 Cloudflare 防火牆黑名單
  34. # 模式(mode)有 block, challenge, whitelist, js_challenge
  35. for  IPADDR in ${IPADDR[@]};  do
  36. echo  $IPADDR
  37. curl -s -X POST  “https://api.cloudflare.com/client/v4/zones/$ZONESID/firewall/access_rules/rules”  \
  38. -H  “X-Auth-Email: $CFEMAIL”  \
  39. -H  “X-Auth-Key: $CFAPIKEY”  \
  40. -H  “Content-Type: application/json”  \
  41. –data ‘{ “mode” : “block” , “configuration” :{ “target” : “ip” , “value” : “‘$IPADDR'” }, “notes” : “CC Attatch” }’
  42. done
  43. # 刪除 IPs 文件收拾乾淨
  44. rm -rf /data/wwwlogs/black.txt

上面的腳本我已經放在我的下載中心,可以提供給大家下載使用,代碼如下:

wget https://down.cheshirex.com/shell/attack-ip.sh 
chmod +x /qicmd/cfblockip.sh 
./cfblockip.sh 
wget https://down.cheshirex.com/shell/attack-ip.sh 
chmod +x /qicmd/attack-ip.sh 
./attack-ip.sh 
wget https://down.cheshirex.com/shell/cf-block-attack-ip.sh 
chmod +x /qicmd/cf-block- attack-ip.sh 
./cf-block-attack-ip.sh

最後,設置一個定時任務,讓腳本每過一分鐘檢測一次(請根據需要來調整,關於定時任務的使用參考:Linux Crontab命令定時任務基本語法)

* * * * * /bin/bash /root/cf-block-attack-ip.sh > /tmp/ou1t.log 2>&1

自動添加惡意IP到CloudFlare防火牆的效果如下:

二、Cloudflare自動切換5秒盾腳本

網站:

https://github.com/Machou/Cloudflare-Block 
當你的服務器受到攻擊時,系統負載就會爆增,利用腳本自動檢測系統負載,當壓力超過一定的值時就可以切換為” I’m Under Attack! “模式了。操作步驟如下:

  1. #下載
  2. cd /root && git clone https: //github.com/Machou/Cloudflare-Block.git DDoS
  3. #打開Cloudflare.sh,修改配置
  4. API_KEY You’re Global API Key (https: //dash.cloudflare.com/profile)
  5. MAIL_ACCOUNT Email of your Cloudflare account
  6. DOMAIN Zone ID (https: //dash.cloudflare.com/_zone-id_/domain.com)
  7. #設置定時​​任務
  8. crontab -e
  9. */1 * * * * /root/DDoS/Cloudflare.sh 0 # check every 1 minute  if  protection is not enabled
  10. */20 * * * * /root/DDoS/Cloudflare.sh 1 # check every 20 minutes  if  protection is enabled

腳本默認的是檢測系統負載為10,啟動” I’m Under Attack! “模式,你以根據需要來調整。如下圖:

完整的腳本代碼如下:

  1. #!/bin/bash
  2. #  $1  = 1min,  $2  = 5min,  $3  = 15min
  3. loadavg=$(cat /proc/loadavg|awk ‘{printf  “%f” ,  $1 }’)
  4. # load is 10, you can modify this  if  you want load more than 10
  5. maxload=10
  6. # Configuration API Cloudflare
  7. # You’re Global API Key (https: //dash.cloudflare.com/profile)
  8. api_key=
  9. # Email of your account Cloudflare
  10. email=
  11. # Zone ID (https: //dash.cloudflare.com/_zone-id_/domain.com)
  12. zone_id=
  13. # create file attacking  if  doesn’t exist
  14. if  [ ! -e  $attacking  ]; then
  15. echo  0 >  $attacking
  16. fi
  17. attacking=./attacking
  18. hasattack=$(cat  $attacking )
  19. if  [ $( echo  “$loadavg > $maxload” |bc) -eq 1 ]; then
  20. if  [[  $hasattack  = 0 &&  $1  = 0 ]]; then
  21. # Active protection
  22. echo  1 >  $attacking
  23. curl -s -X PATCH  “https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level”  \
  24. -H  “X-Auth-Email: $email”  \
  25. -H  “X-Auth-Key: $api_key”  \
  26. -H  “Content-Type: application/json”  \
  27. –data ‘{ “value” : “under_attack” }’
  28. fi
  29. else
  30. if  [[  $hasattack  = 1 &&  $1  = 1 ]]; then
  31. # Disable Protection
  32. echo  0 >  $attacking
  33. curl -s -X PATCH  “https://api.cloudflare.com/client/v4/zones/$zone_id/settings/security_level”  \
  34. -H  “X-Auth-Email: $email”  \
  35. -H  “X-Auth-Key: $api_key”  \
  36. -H  “Content-Type: application/json”  \
  37. –data ‘{ “value” : “high” }’
  38. fi
  39. fi
  40. exit  0

三、總結

Cloudflare是一個非常好用的防禦DDos和CC攻擊的工具,免費版本的Cloudflare結合API可以實現更加靈活的功能,對於普通的防禦足夠自己使用了。

Cloudflare防護也有一定的問題,那就是啟用了Cloudflare後獲取到用戶的IP都是Cloudflare CDN節點的IP,我們還需要在服務器配置中做進一步的優化。

文章轉載自:挖站否https://wzfou.com/cloudflare-cc/,部分內容參考自9sep 版權所有。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料