一种网络攻击IP自动拒绝方法.pdf

1、(10)申请公布号 CN 102404323 A (43)申请公布日 2012.04.04 C N 1 0 2 4 0 4 3 2 3 A *CN102404323A* (21)申请号 201110372140.8 (22)申请日 2011.11.18 H04L 29/06(2006.01) G06F 21/00(2006.01) (71)申请人深圳中兴网信科技有限公司 地址 518057 广东省深圳市南山区高新技术 产业园高新南5道金证大厦2楼 (72)发明人边海平 李斌 潘俊 谢向荣 祝明远 肖飞秋 (54) 发明名称 一种网络攻击IP自动拒绝方法 (57) 摘要 本发明提供一种网络攻击I

2、P自动拒绝方法， 包括：读取系统安全日志文件；过滤读取出来的 安全日志文件，提取需要的IP数据；将提取出来 的IP数据定向输出到指定的过滤结果存放文件 中；把过滤结果存放文件里的IP按指定规则处 理。通过本发明提供一种网络攻击IP自动拒绝方 法，通过AWK过滤日志文件中要拒绝的目标IP，添 加到防火墙的方法，实现无人自动添加攻击IP拒 绝需求，达到省时省力，节省时间，提高效率。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 3 页 附图 1 页 CN 102404327 A 1/1页 2 1.一种网络攻击IP自动拒绝方法，其特征

3、在于，包括： 读取系统安全日志文件； 过滤读取出来的安全日志文件，提取需要的IP数据； 将提取出来的IP数据定向输出到指定的过滤结果存放文件中； 把过滤结果存放文件里的IP按指定规则处理。 2.如权利要求1所述的方法，其特征在于，所述读取系统安全日志文件，具体包括： 如果网络支持tcpwrap服务，则直接用cat命令读取系统安全日志文件； 如果网络不支持tcpwrap服务，则先在iptables防火墙定义服务所用端口进入响应动 作为记录安全日志，再用cat命令读取系统安全日志文件。 3.如权利要求1所述的方法，其特征在于，所述过滤读取出来的安全日志文件，提取需 要的IP数据，具体包括： 将读取

4、出来的安全日志文件传给AWK过滤并输出指定列的内容； 对输出指定列的内容进行排序，并将排序后的数据进行去重处理； 对去重后的数据传给AWK过滤提取需要的IP数据。 4.如权利要求1所述的方法，其特征在于，所述方法还包括：将过滤结果存放文件里的 IP值与预设参数值进行比较，如果IP值大于预设参数值，则把过滤结果存放文件里的IP按 指定规则处理，否则，不用操作。 5.如权利要求1或4所述的方法，其特征在于，所述把过滤结果存放文件里的IP按指 定规则处理，具体包括： 如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中； 如果网络不支持tcpwrap

5、服务，则把过滤结果存放文件里的IP循环执行到iptables 中，执行操作动作为拒绝。 权 利 要 求 书CN 102404323 A CN 102404327 A 1/3页 3 一种网络攻击 IP 自动拒绝方法 技术领域 0001 本发明涉及计算机领域，特别是涉及一种网络攻击IP自动拒绝方法。 背景技术 0002 目前，网络中SSH、FTP、邮箱、80端口等经常受到非法的暴力密码破解，对网络安 全造成一定的隐患。一般情况下，在网络受到攻击时，可以通过以下方式来拒绝IP地址访 问主机：一种方式是通过tcpwrap功能拒绝IP主机，这种方式需要手动写入指定的服务要 拒绝IP到配置文件中，这种方式

6、存在以下缺点：当有人对目标服务器上邮箱，ssh，ftp的密 码暴力尝试破解时，要么人不在主机前，不知道攻击来源IP，要么事后查日志一个个手工添 加，还有可能添加不及时。 0003 另外一种方式是通过iptables拒绝主机，现在普遍方式是指定端口服务操作动 作要么为允许，要么为拒绝，要让某个端口允许服务，就全部允许了，达不到不知密码的暴 力破解保护；此外，这种方式的iptables防火墙要过滤的IP也需要用户手动写入文件。 0004 所以，以上两种方式，都需要用户手工将要过滤的IP地址添加到指定的文件中， 浪费时间，且效率低。 发明内容 0005 本发明的目的在于提供一种网络攻击IP自动拒绝方

7、法，通过AWK过滤日志文件中 要拒绝的目标IP，添加到防火墙的方法，实现无人自动添加攻击IP拒绝需求，达到省时省 力，节省时间，提高效率。 0006 为了解决以上技术问题，本发明提供一种网络攻击IP自动拒绝方法，包括： 0007 读取系统安全日志文件； 0008 过滤读取出来的安全日志文件，提取需要的IP数据； 0009 将提取出来的IP数据定向输出到指定的过滤结果存放文件中； 0010 把过滤结果存放文件里的IP按指定规则处理。 0011 进一步地，所述读取系统安全日志文件，具体包括： 0012 如果网络支持tcpwrap服务，则直接用cat命令读取系统安全日志文件； 0013 如果网络不支

8、持tcpwrap服务，则先在iptables防火墙定义服务所用端口进入响 应动作为记录安全日志，再用cat命令读取系统安全日志文件。 0014 进一步地，所述过滤读取出来的安全日志文件，提取需要的IP数据，具体包括： 0015 将读取出来的安全日志文件传给AWK过滤并输出指定列的内容； 0016 对输出指定列的内容进行排序，并将排序后的数据进行去重处理； 0017 对去重后的数据传给AWK过滤提取需要的IP数据。 0018 进一步地，所述方法还包括：将过滤结果存放文件里的IP值与预设参数值进行比 较，如果IP值大于预设参数值，则把过滤结果存放文件里的IP按指定规则处理，否则，不用 操作。 说

9、明 书CN 102404323 A CN 102404327 A 2/3页 4 0019 进一步地，所述把过滤结果存放文件里的IP按指定规则处理，具体包括： 0020 如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中； 0021 如果网络不支持tcpwrap服务，则把过滤结果存放文件里的IP循环执行到 iptables中，执行操作动作为拒绝。 0022 与现有技术相比，本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志 文件中要拒绝的目标IP，添加到防火墙的方法，即针对tcpwrap，通过脚本程序调用指令自 动完成指定服务拒绝IP的

10、分析添加；针对iptables，通过先允许并记录到日志，再对短时 间内超过多少次的连接(暴力破解尝试)进行过滤提取IP，自动添加到iptables的拒绝限 制里；从而实现了无人自动添加攻击IP拒绝需求，达到省时省力的效果，节省时间，提高效 率。 附 图说明 0023 此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发 明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： 0024 图1是本发明提供一种网络攻击IP自动拒绝方法的流程图。 具体实施方式 0025 为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结 合附图和实施例，

11、对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用 以解释本发明，并不用于限定本发明。 0026 本发明所述网络攻击IP自动拒绝方法涉及以下几个部分：系统安全日志、AWK工 具、过滤结果存放文件。 0027 1)系统安全日志，用来记录失败或错误的访问。正常的IP不会到这里。 0028 2)AWK工具，脚本分析过滤中要调用的工具。Linux下默认有自带安装。 0029 3)过滤结果存放文件：为抓取过滤处理后的结果输出存放文件，名称可自己定。 0030 如图1所示，本发明提供一种网络攻击IP自动拒绝方法，包括： 0031 第一步：读取系统安全日志文件。具体包括： 0032 如果网络支

12、持tcpwrap服务，则直接用cat命令读取系统安全日志文件； 0033 如果网络不支持tcpwrap服务，则需要先在iptables防火墙定义服务所用端口进 入响应动作为记录安全日志，添加日志注释，然后再用cat命令读取系统安全日志文件。 0034 第二步：过滤读取出来的安全日志文件，提取需要的IP数据；具体包括： 0035 将读取出来的安全日志文件传给AWK过滤并输出指定列的内容； 0036 对输出指定列的内容进行排序，并将排序后的数据进行去重处理； 0037 对去重后的数据传给AWK过滤提取需要的IP数据。 0038 第三步：将提取出来的IP数据定向输出到指定的过滤结果存放文件中。 00

13、39 第四步：将过滤结果存放文件里的IP值与预设参数值进行比较，如果IP值大于预 设参数值，则转入第五步，否则，转入第六步；其中，预设参数值是有多少次相同IP地址的 失败记录判断参数值。 说 明 书CN 102404323 A CN 102404327 A 3/3页 5 0040 第五步：把过滤结果存放文件里的IP按指定规则处理；具体包括： 0041 如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中。 0042 如果网络不支持tcpwrap服务，则把过滤结果存放文件里的IP循环执行到 iptables中，执行操作动作为拒绝。 0043 第六

14、步：不用操作。 0044 本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志文件中要拒绝的目 标IP，添加到防火墙的方法，即针对tcpwrap，通过脚本程序调用指令自动完成指定服务拒 绝IP的分析添加；针对iptables，通过先允许并记录到日志，再对短时间内超过多少次的 连接(暴力破解尝试)进行过滤提取IP，自动添加到iptables的拒绝限制里；从而实现了 无人自动添加攻击IP拒绝需求，达到省时省力的效果，节省时间，提高效率。 0045 上述说明示出并描述了本发明的一个优选实施例，但如前所述，应当理解本发明 并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、 修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识 进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发 明所附权利要求的保护范围内。 说 明 书CN 102404323 A CN 102404327 A 1/1页 6 图1 说 明 书 附 图CN 102404323 A