2016-07-12 15:14:35 1933 0

前段时间公司服务器被攻击，于是想弄一个这方面的脚本，于是便有了这个脚本。 刚开始走了不少弯路，后来发现linux系统自带的tcpdump这个命令很不错，不了解的童鞋可以直接找度娘~~ 我的思路是这样：tcpdump随机抓取1000(或者自定义)个包，筛选出外部ip访问本机的端口及其ip，如果是正常访问，外部ip访问本服务器的端口按理来说不会太多，如果超过20(或者自定义)个，直接iptables禁掉，另外一个判断，随机按顺序抓取的1000(或者自定义)个包，我个人定义为同一ip数量超过70%(也可以自定义)就不