一种网络攻击IP自动拒绝方法.pdf

上传人：t****

文档编号：4235949

上传时间：2018-09-09

格式：PDF

页数：6

大小：336.98KB

《一种网络攻击IP自动拒绝方法.pdf》由会员分享，可在线阅读，更多相关《一种网络攻击IP自动拒绝方法.pdf（6页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102404323 A (43)申请公布日 2012.04.04 C N 1 0 2 4 0 4 3 2 3 A *CN102404323A* (21)申请号 201110372140.8 (22)申请日 2011.11.18 H04L 29/06(2006.01) G06F 21/00(2006.01) (71)申请人深圳中兴网信科技有限公司地址 518057 广东省深圳市南山区高新技术产业园高新南5道金证大厦2楼 (72)发明人边海平李斌潘俊谢向荣祝明远肖飞秋 (54) 发明名称一种网络攻击IP自动拒绝方法 (57) 摘要本发明提供一种网络攻击I。

2、P自动拒绝方法，包括：读取系统安全日志文件；过滤读取出来的安全日志文件，提取需要的IP数据；将提取出来的IP数据定向输出到指定的过滤结果存放文件中；把过滤结果存放文件里的IP按指定规则处理。通过本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志文件中要拒绝的目标IP，添加到防火墙的方法，实现无人自动添加攻击IP拒绝需求，达到省时省力，节省时间，提高效率。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 3 页附图 1 页 CN 102404327 A 1/1页 2 1.一种网络攻击IP自动拒绝方法，其特征。

3、在于，包括：读取系统安全日志文件；过滤读取出来的安全日志文件，提取需要的IP数据；将提取出来的IP数据定向输出到指定的过滤结果存放文件中；把过滤结果存放文件里的IP按指定规则处理。 2.如权利要求1所述的方法，其特征在于，所述读取系统安全日志文件，具体包括：如果网络支持tcpwrap服务，则直接用cat命令读取系统安全日志文件；如果网络不支持tcpwrap服务，则先在iptables防火墙定义服务所用端口进入响应动作为记录安全日志，再用cat命令读取系统安全日志文件。 3.如权利要求1所述的方法，其特征在于，所述过滤读取出来的安全日志文件，提取需要的IP数据，具体包括：将读取。

4、出来的安全日志文件传给AWK过滤并输出指定列的内容；对输出指定列的内容进行排序，并将排序后的数据进行去重处理；对去重后的数据传给AWK过滤提取需要的IP数据。 4.如权利要求1所述的方法，其特征在于，所述方法还包括：将过滤结果存放文件里的 IP值与预设参数值进行比较，如果IP值大于预设参数值，则把过滤结果存放文件里的IP按指定规则处理，否则，不用操作。 5.如权利要求1或4所述的方法，其特征在于，所述把过滤结果存放文件里的IP按指定规则处理，具体包括：如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中；如果网络不支持tcpwrap。

5、服务，则把过滤结果存放文件里的IP循环执行到iptables 中，执行操作动作为拒绝。权利要求书CN 102404323 A CN 102404327 A 1/3页 3 一种网络攻击 IP 自动拒绝方法技术领域 0001 本发明涉及计算机领域，特别是涉及一种网络攻击IP自动拒绝方法。背景技术 0002 目前，网络中SSH、FTP、邮箱、80端口等经常受到非法的暴力密码破解，对网络安全造成一定的隐患。一般情况下，在网络受到攻击时，可以通过以下方式来拒绝IP地址访问主机：一种方式是通过tcpwrap功能拒绝IP主机，这种方式需要手动写入指定的服务要拒绝IP到配置文件中，这种方式。

6、存在以下缺点：当有人对目标服务器上邮箱，ssh，ftp的密码暴力尝试破解时，要么人不在主机前，不知道攻击来源IP，要么事后查日志一个个手工添加，还有可能添加不及时。 0003 另外一种方式是通过iptables拒绝主机，现在普遍方式是指定端口服务操作动作要么为允许，要么为拒绝，要让某个端口允许服务，就全部允许了，达不到不知密码的暴力破解保护；此外，这种方式的iptables防火墙要过滤的IP也需要用户手动写入文件。 0004 所以，以上两种方式，都需要用户手工将要过滤的IP地址添加到指定的文件中，浪费时间，且效率低。发明内容 0005 本发明的目的在于提供一种网络攻击IP自动拒绝方。

7、法，通过AWK过滤日志文件中要拒绝的目标IP，添加到防火墙的方法，实现无人自动添加攻击IP拒绝需求，达到省时省力，节省时间，提高效率。 0006 为了解决以上技术问题，本发明提供一种网络攻击IP自动拒绝方法，包括： 0007 读取系统安全日志文件； 0008 过滤读取出来的安全日志文件，提取需要的IP数据； 0009 将提取出来的IP数据定向输出到指定的过滤结果存放文件中； 0010 把过滤结果存放文件里的IP按指定规则处理。 0011 进一步地，所述读取系统安全日志文件，具体包括： 0012 如果网络支持tcpwrap服务，则直接用cat命令读取系统安全日志文件； 0013 如果网络不支。

8、持tcpwrap服务，则先在iptables防火墙定义服务所用端口进入响应动作为记录安全日志，再用cat命令读取系统安全日志文件。 0014 进一步地，所述过滤读取出来的安全日志文件，提取需要的IP数据，具体包括： 0015 将读取出来的安全日志文件传给AWK过滤并输出指定列的内容； 0016 对输出指定列的内容进行排序，并将排序后的数据进行去重处理； 0017 对去重后的数据传给AWK过滤提取需要的IP数据。 0018 进一步地，所述方法还包括：将过滤结果存放文件里的IP值与预设参数值进行比较，如果IP值大于预设参数值，则把过滤结果存放文件里的IP按指定规则处理，否则，不用操作。说。

9、明书CN 102404323 A CN 102404327 A 2/3页 4 0019 进一步地，所述把过滤结果存放文件里的IP按指定规则处理，具体包括： 0020 如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中； 0021 如果网络不支持tcpwrap服务，则把过滤结果存放文件里的IP循环执行到 iptables中，执行操作动作为拒绝。 0022 与现有技术相比，本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志文件中要拒绝的目标IP，添加到防火墙的方法，即针对tcpwrap，通过脚本程序调用指令自动完成指定服务拒绝IP的。

10、分析添加；针对iptables，通过先允许并记录到日志，再对短时间内超过多少次的连接(暴力破解尝试)进行过滤提取IP，自动添加到iptables的拒绝限制里；从而实现了无人自动添加攻击IP拒绝需求，达到省时省力的效果，节省时间，提高效率。附图说明 0023 此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中： 0024 图1是本发明提供一种网络攻击IP自动拒绝方法的流程图。具体实施方式 0025 为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结合附图和实施例，。

11、对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。 0026 本发明所述网络攻击IP自动拒绝方法涉及以下几个部分：系统安全日志、AWK工具、过滤结果存放文件。 0027 1)系统安全日志，用来记录失败或错误的访问。正常的IP不会到这里。 0028 2)AWK工具，脚本分析过滤中要调用的工具。Linux下默认有自带安装。 0029 3)过滤结果存放文件：为抓取过滤处理后的结果输出存放文件，名称可自己定。 0030 如图1所示，本发明提供一种网络攻击IP自动拒绝方法，包括： 0031 第一步：读取系统安全日志文件。具体包括： 0032 如果网络支。

12、持tcpwrap服务，则直接用cat命令读取系统安全日志文件； 0033 如果网络不支持tcpwrap服务，则需要先在iptables防火墙定义服务所用端口进入响应动作为记录安全日志，添加日志注释，然后再用cat命令读取系统安全日志文件。 0034 第二步：过滤读取出来的安全日志文件，提取需要的IP数据；具体包括： 0035 将读取出来的安全日志文件传给AWK过滤并输出指定列的内容； 0036 对输出指定列的内容进行排序，并将排序后的数据进行去重处理； 0037 对去重后的数据传给AWK过滤提取需要的IP数据。 0038 第三步：将提取出来的IP数据定向输出到指定的过滤结果存放文件中。 00。

13、39 第四步：将过滤结果存放文件里的IP值与预设参数值进行比较，如果IP值大于预设参数值，则转入第五步，否则，转入第六步；其中，预设参数值是有多少次相同IP地址的失败记录判断参数值。说明书CN 102404323 A CN 102404327 A 3/3页 5 0040 第五步：把过滤结果存放文件里的IP按指定规则处理；具体包括： 0041 如果网络支持tcpwrap服务，则把过滤结果存放文件里的IP按指定格式写入到 tcpwrap拒绝文件中。 0042 如果网络不支持tcpwrap服务，则把过滤结果存放文件里的IP循环执行到 iptables中，执行操作动作为拒绝。 0043 第六。

14、步：不用操作。 0044 本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志文件中要拒绝的目标IP，添加到防火墙的方法，即针对tcpwrap，通过脚本程序调用指令自动完成指定服务拒绝IP的分析添加；针对iptables，通过先允许并记录到日志，再对短时间内超过多少次的连接(暴力破解尝试)进行过滤提取IP，自动添加到iptables的拒绝限制里；从而实现了无人自动添加攻击IP拒绝需求，达到省时省力的效果，节省时间，提高效率。 0045 上述说明示出并描述了本发明的一个优选实施例，但如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。说明书CN 102404323 A CN 102404327 A 1/1页 6 图1 说明书附图CN 102404323 A 。

摘要
申请专利号：	CN201110372140.8	申请日：	2011.11.18
公开号：	CN102404323A	公开日：	2012.04.04
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20120404\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20111118\|\|\|公开
IPC分类号：	H04L29/06; G06F21/00	主分类号：	H04L29/06
申请人：	深圳中兴网信科技有限公司
发明人：	边海平; 李斌; 潘俊; 谢向荣; 祝明远; 肖飞秋
地址：	518057 广东省深圳市南山区高新技术产业园高新南5道金证大厦2楼
优先权：
专利代理机构：		代理人：
PDF完整版下载：	PDF下载

内容摘要

本发明提供一种网络攻击IP自动拒绝方法，包括：读取系统安全日志文件；过滤读取出来的安全日志文件，提取需要的IP数据；将提取出来的IP数据定向输出到指定的过滤结果存放文件中；把过滤结果存放文件里的IP按指定规则处理。通过本发明提供一种网络攻击IP自动拒绝方法，通过AWK过滤日志文件中要拒绝的目标IP，添加到防火墙的方法，实现无人自动添加攻击IP拒绝需求，达到省时省力，节省时间，提高效率。

权利要求书

1：一种网络攻击 IP 自动拒绝方法，其特征在于，包括：读取系统安全日志文件；过滤读取出来的安全日志文件，提取需要的 IP 数据；将提取出来的 IP 数据定向输出到指定的过滤结果存放文件中；把过滤结果存放文件里的 IP 按指定规则处理。
2：如权利要求 1 所述的方法，其特征在于，所述读取系统安全日志文件，具体包括：如果网络支持 tcpwrap 服务，则直接用 cat 命令读取系统安全日志文件；如果网络不支持 tcpwrap 服务，则先在 iptables 防火墙定义服务所用端口进入响应动作为记录安全日志，再用 cat 命令读取系统安全日志文件。
3：如权利要求 1 所述的方法，其特征在于，所述过滤读取出来的安全日志文件，提取需要的 IP 数据，具体包括：将读取出来的安全日志文件传给 AWK 过滤并输出指定列的内容；对输出指定列的内容进行排序，并将排序后的数据进行去重处理；对去重后的数据传给 AWK 过滤提取需要的 IP 数据。
4：如权利要求 1 所述的方法，其特征在于，所述方法还包括：将过滤结果存放文件里的 IP 值与预设参数值进行比较，如果 IP 值大于预设参数值，则把过滤结果存放文件里的 IP 按指定规则处理，否则，不用操作。
5：如权利要求 1 或 4 所述的方法，其特征在于，所述把过滤结果存放文件里的 IP 按指定规则处理，具体包括：如果网络支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 按指定格式写入到 tcpwrap 拒绝文件中；如果网络不支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 循环执行到 iptables 中，执行操作动作为拒绝。

说明书

一种网络攻击 IP 自动拒绝方法
    【技术领域】
     本发明涉及计算机领域，特别是涉及一种网络攻击 IP 自动拒绝方法。背景技术目前，网络中 SSH、 FTP、邮箱、 80 端口等经常受到非法的暴力密码破解，对网络安全造成一定的隐患。一般情况下，在网络受到攻击时，可以通过以下方式来拒绝 IP 地址访问主机：一种方式是通过 tcpwrap 功能拒绝 IP 主机，这种方式需要手动写入指定的服务要拒绝 IP 到配置文件中，这种方式存在以下缺点：当有人对目标服务器上邮箱， ssh， ftp 的密码暴力尝试破解时，要么人不在主机前，不知道攻击来源 IP，要么事后查日志一个个手工添加，还有可能添加不及时。
     另外一种方式是通过 iptables 拒绝主机，现在普遍方式是指定端口服务操作动作要么为允许，要么为拒绝，要让某个端口允许服务，就全部允许了，达不到不知密码的暴力破解保护；此外，这种方式的 iptables 防火墙要过滤的 IP 也需要用户手动写入文件。
     所以，以上两种方式，都需要用户手工将要过滤的 IP 地址添加到指定的文件中，浪费时间，且效率低。
     发明内容本发明的目的在于提供一种网络攻击 IP 自动拒绝方法，通过 AWK 过滤日志文件中要拒绝的目标 IP，添加到防火墙的方法，实现无人自动添加攻击 IP 拒绝需求，达到省时省力，节省时间，提高效率。
     为了解决以上技术问题，本发明提供一种网络攻击 IP 自动拒绝方法，包括：
     读取系统安全日志文件；
     过滤读取出来的安全日志文件，提取需要的 IP 数据；
     将提取出来的 IP 数据定向输出到指定的过滤结果存放文件中；
     把过滤结果存放文件里的 IP 按指定规则处理。
     进一步地，所述读取系统安全日志文件，具体包括：
     如果网络支持 tcpwrap 服务，则直接用 cat 命令读取系统安全日志文件；
     如果网络不支持 tcpwrap 服务，则先在 iptables 防火墙定义服务所用端口进入响应动作为记录安全日志，再用 cat 命令读取系统安全日志文件。
     进一步地，所述过滤读取出来的安全日志文件，提取需要的 IP 数据，具体包括：
     将读取出来的安全日志文件传给 AWK 过滤并输出指定列的内容；
     对输出指定列的内容进行排序，并将排序后的数据进行去重处理；
     对去重后的数据传给 AWK 过滤提取需要的 IP 数据。
     进一步地，所述方法还包括：将过滤结果存放文件里的 IP 值与预设参数值进行比较，如果 IP 值大于预设参数值，则把过滤结果存放文件里的 IP 按指定规则处理，否则，不用操作。
     进一步地，所述把过滤结果存放文件里的 IP 按指定规则处理，具体包括：
     如果网络支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 按指定格式写入到 tcpwrap 拒绝文件中；
     如果网络不支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 循环执行到 iptables 中，执行操作动作为拒绝。
     与现有技术相比，本发明提供一种网络攻击 IP 自动拒绝方法，通过 AWK 过滤日志文件中要拒绝的目标 IP，添加到防火墙的方法，即针对 tcpwrap，通过脚本程序调用指令自动完成指定服务拒绝 IP 的分析添加；针对 iptables，通过先允许并记录到日志，再对短时间内超过多少次的连接 ( 暴力破解尝试 ) 进行过滤提取 IP，自动添加到 iptables 的拒绝限制里；从而实现了无人自动添加攻击 IP 拒绝需求，达到省时省力的效果，节省时间，提高效率。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
     图 1 是本发明提供一种网络攻击 IP 自动拒绝方法的流程图。具体实施方式
     为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
     本发明所述网络攻击 IP 自动拒绝方法涉及以下几个部分：系统安全日志、 AWK 工具、过滤结果存放文件。
     1) 系统安全日志，用来记录失败或错误的访问。正常的 IP 不会到这里。
     2)AWK 工具，脚本分析过滤中要调用的工具。Linux 下默认有自带安装。
     3) 过滤结果存放文件：为抓取过滤处理后的结果输出存放文件，名称可自己定。
     如图 1 所示，本发明提供一种网络攻击 IP 自动拒绝方法，包括：
     第一步：读取系统安全日志文件。具体包括：
     如果网络支持 tcpwrap 服务，则直接用 cat 命令读取系统安全日志文件；
     如果网络不支持 tcpwrap 服务，则需要先在 iptables 防火墙定义服务所用端口进入响应动作为记录安全日志，添加日志注释，然后再用 cat 命令读取系统安全日志文件。
     第二步：过滤读取出来的安全日志文件，提取需要的 IP 数据；具体包括：
     将读取出来的安全日志文件传给 AWK 过滤并输出指定列的内容；
     对输出指定列的内容进行排序，并将排序后的数据进行去重处理；
     对去重后的数据传给 AWK 过滤提取需要的 IP 数据。
     第三步：将提取出来的 IP 数据定向输出到指定的过滤结果存放文件中。
     第四步：将过滤结果存放文件里的 IP 值与预设参数值进行比较，如果 IP 值大于预设参数值，则转入第五步，否则，转入第六步；其中，预设参数值是有多少次相同 IP 地址的失败记录判断参数值。第五步：把过滤结果存放文件里的 IP 按指定规则处理；具体包括：
     如果网络支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 按指定格式写入到 tcpwrap 拒绝文件中。
     如果网络不支持 tcpwrap 服务，则把过滤结果存放文件里的 IP 循环执行到 iptables 中，执行操作动作为拒绝。
     第六步：不用操作。
     本发明提供一种网络攻击 IP 自动拒绝方法，通过 AWK 过滤日志文件中要拒绝的目标 IP，添加到防火墙的方法，即针对 tcpwrap，通过脚本程序调用指令自动完成指定服务拒绝 IP 的分析添加；针对 iptables，通过先允许并记录到日志，再对短时间内超过多少次的连接 ( 暴力破解尝试 ) 进行过滤提取 IP，自动添加到 iptables 的拒绝限制里；从而实现了无人自动添加攻击 IP 拒绝需求，达到省时省力的效果，节省时间，提高效率。
     上述说明示出并描述了本发明的一个优选实施例，但如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。