首页 > 编程语言 >Python开发之DOS攻击检测和防御

Python开发之DOS攻击检测和防御

时间:2024-08-27 12:51:41浏览次数:13  
标签:load Python ip netstat TCP 防御 print DOS cpu

文章目录

Python检测和防御DOS攻击

利用Python编程实现对wrk的泛洪攻击检测,并让程序触发调用Linux命令实现防御:

1、泛洪攻击的检测,可以考虑使用的命令,这些命令可以通过Pytho调用和分析。

  • netstat -ant | wc -l
  • netstat -ant | grep SYN_RECV
  • netstat -s | grep overflowed
  • netstat -s | grep dropped
  • top -n 获取CPU使用率

以上操作过程的命令,允许使用管道和AWK提取数据,也可以直接使用Python进行数据提取

2、防御措施可以选择一下几种:

  • 修改系统配置参数,来增强系统的TCP连接数
  • 直接结束某些消耗CPU的进程,或者停止Apache的服务(不得已而为之)
  • 开启防火墙,将目标IP地址进行封锁(首选)
  • 自行查阅资料,进行其他可以执行的操作
  • 上述Python代码实现的狠心就是调用系统指令,再通过Python 进行分析,触发命令的执行等。建议在Linux上安装Pyotn3.x及以上的版本

基本步骤:

1、确保在Linux上可以正常运行Python3.x,而Centos内置的是python2.7版本

image-20240517192044187

2、做基本的调研,明确对于DOS的入侵检测,需要使用那些方法或命令

3、将可以使用的命令通过Python来运行,并进行调试,确保 Python+命令 可以正常运行

4、想办法找到连接数最多的攻击源IP地址,驱动Linux的防火墙进行入侵防御

5、最后进行整合,测试,再模拟攻击,确保脚本可以正常检测

一、在CentOS上安装Python3

下载地址:Python 版本 Python 3.10.14 |Python.org

安装教程:

CentOS 7 安装 Python 3.10_yum python3.10-CSDN博客

服务器Centos7部署安装Python3的完整过程(3.10.1) - 知乎 (zhihu.com)

cd ~

sudo yum -y update

sudo yum -y install openssl-devel libffi-devel bzip2-devel

sudo yum -y groupinstall "Development Tools"

wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz --no-check-certificate

tar zxf openssl-1.1.1q.tar.gz

cd openssl-1.1.1q

./config --prefix=/usr/local/openssl-1.1.1

sudo make && sudo make install

mkdir /usr/local/python3

wget https://www.python.org/ftp/python/3.10.5/Python-3.10.5.tgz

tar zxf Python-3.10.5.tgz 

cd Python-3.10.5

./configure --enable-optimizations --with-openssl=/usr/local/openssl-1.1.1 --with-openssl-rpath=auto --prefix=/usr/local/python3

sudo make altinstall

#make

#make install

# 配置环境变量

vi ~/.bash_profile

export PYTHON_HOME=/usr/local/python3

PATH=$PATH:$HOME/bin:$PYTHON_HOME/bin

export PATH

退出编辑
source ~/.bash_profile

二、理解各个命令的含义

1、uptime

uptime 命令用户查看主机的开机时长,用户连接数量,以及在 1、5、15分钟 三个时间段内,CPU的负载情况

uptime

每周一个linux命令之—uptime详解 - vinter_he - 博客园 (cnblogs.com)

2、netstat

netstat 命令用来打印Linux中网络系统的状态信息,可让你得知整个Linux操作系统的网络情况,需要注意的是在windows和Linux上的参数会略有不同。

-a或--all 显示所有连线中的Socket
-n或--numeric 直接使用IP地址,而不通过域名服务器。意思就是以数字的形式代替服务
-l或--listening 显示监控中的服务器的Socket。
-t或--tcp 显示TCP传输协议的连线状况
-u或--udp 显示UDP传输协议的连线状况。
-s或--statistics 显示网络工作信息统计表
-r或--route 显示Routing Table。
-p或--programs 显示正在使用Socket的程序识别码和程序名称。

以数字方式列出所有TCP连接情况: netstat -ant
以数字方式列出所有UDP连接情况: netstat -anu
以数字方式列出所有TCP和UDP处理监听状态的情况: netstat -anult
显示所有端口的统计信息: netstat-s
显示TCP端口的统计信息: netstat-st
显示核心路由信息: netstat -r
显示所有连接的进程信息: netstat -ap

Linux netstat命令 |菜鸟教程 (runoob.com)

3、ss

ss 用来显示处于活动状态的套接字信息。他可以显示和netstat类似的内容,但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速高效。

显示监听状态下的队列情况: ss -lnt
显示非监听状态下的连接详情: ss -nt
显示socket摘要信息: ss -s  注意其结果的IPv6的变化

LISTEN 状态: Recv-Q 表示的当前等待服务端调用 accept 完成三次握手的 listen backlog 数值,也就是说,当客户端通过 connect() 去连接正在 listen() 的服务端时,这些连接会一直处于这个 queue 里面直到被服务端accept() ; Send-Q 表示的则是最大的 listen backlog 数值,这就就是上面提到的 min(backlog,somaxconn)的值

非 LISTEN 状态: Recv-Q 表示 receive queue 中的 bytes 数量;Send-Q 表示 send queue 中的 bytes 数值该数值意义不大,更多关注连接的数量和状态即可

4、firewall-cmd

关闭防火墙:systemctl stop firewalld

添加允许端口:firewall-cmd --add-port=80/tcp

列出防火墙规则:firewall-cmd --list-all

禁止IP地址访问80端口:firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.112.148" port port="80" protocol="tcp" reject'

让配置永久生效:添加允许端口:firewall-cmd --add-port=80/tcp --permanent

允许http服务通过1分钟:firewall-cmd --zone=public --add-service=http --timeout=1m,这个 timeout 选项是一个以秒(s)、分(m)或小时(h)为单位的时间值。

5、sysctl

sysctl命令用于运行时配置内核参数,这些参数位于/proc/sys目录下。sysctl配置与显示在/proc/sys目录中的内核参数,可以用sysctl来设置或重新设置联网功能,如IP转发、IP碎片去除以及源路由检查等。用户只需要编辑/etc/sysctl.con文件,即可手工或自动执行由sysctl控制的功能。

显示所有系统参数:sysctl -a

使用cat查看指定参数:cat /proc/sys/net/ipv4/ip_forward,除/proc/sys外,后面的路径与参数名称一致换成 / 即可

临时改变某个指定参数的值,如:sysctl -w net.ipv4.ip forward=1,也可以:echo 1 > /proc/sys/netipv4/ip forward

如果想永久保留配置,可以修改/etc/sysctl.con文件

快速修改部分参数,优化性能:

net/ipv4/tcp_syn_cookies   是否打开SYN COOKIES的功能,"1”为打开,“2”关闭。

net/ipv4/tcp_max_syn_backlog	SYN队列的长度,加大队列长度可以容纳更多等待连接的网络连接数。

net/ipv4/tcp_synack_retries和net/ipv4/tcp_syn_retries	定义SYN重试次数,默认为5,建议为2

net/ipv4/sack=0

其他参数的说明:https://www.cnblogs.com/feiyun126/p/8646989.html

一些优化方案:https://blog.csdn.net/wangshuminjava/article/details/80935792

三、利用python实现DOS入侵检测

采集TCP连接数据

采集跟DOS攻击关联度较高的数据
uptime
  • 19:51:11 up 5 days, 8:40, 3 users, load average: 0.00, 0.02, 0.05 -> [’ 19:51:11 up 5 days’, ’ 8:40’, ’ 3 users’, ’ load average: 0.00’, ’ 0.02’, ’ 0.05\n’] -> load average: 0.00 -> [‘’, ‘’, ‘load’, ‘average:’, ‘0.00’] -> 0.00

import os,time

# 可采用 split和awk进行修改得到前1分钟的CPU平均负载
import time,os

def get_cpu_01():
    uptime = os.popen('uptime').read()
    #print(type(uptime))
    #print(uptime)
    cpu_load = float(uptime.split(',')[3].split(' ')[4])
    #print(cpu_load)
    return cpu_load

  • 20:07:30 up 5 days, 8:56, 3 users, load average: 0.00, 0.01, 0.05 –>> 20:07:30 up 5 days, 8:56, 3 users, load average,0.00, 0.01, 0.05 **–>> ** [’ 20:07:48 up 5 days’, ’ 8:56’, ’ 3 users’, ’ load average’, ‘0.00’, ’ 0.01’, ’ 0.05\n’] –>> 0.00

def get_cpu_02():
    uptime = os.popen('uptime').read()
    #print(type(uptime))
    #print(uptime)
    cpu_load = float(uptime.replace(': ',',').split(',')[4])
    #print(cpu_load)
    return cpu_load
  • 20:16:56 up 5 days, 9:05, 3 users, load average: 0.00, 0.01, 0.05 –>> 0.00, 0.01, 0.05 –>> 0.00

def get_cpu_03():
    uptime = os.popen('uptime').read()
    #print(type(uptime))
    #print(uptime)
    cpu_load = float(os.popen("uptime | awk -F ': ' '{print$2}' | awk -F ',' '{print$1}'").read())
    #print(cpu_load)
    return cpu_load
netstat -ant 连接数量

正常 netstat -ant 展示情况,一般是不会迅猛增加

image-20240521174617885

def get_TCP_conn():
    netstat = int(os.popen('netstat -ant | wc -l').read())
    return netstat
ss -lnt 读取队列情况

image-20240522201335571

def get_queue_size():
    queue = os.popen('ss -lnt | grep :80').read()
    recv_q = int(queue.split()[1])
    send_q = int(queue.split()[2])
    return recv_q,send_q
主调函数
if __name__ == '__main__':
    while True:
        #cpu_load = get_cpu_load_01()
        #cpu_load = get_cpu_load_02()
        cpu_load = get_cpu_load_03()

        TCP_conn = get_TCP_conn()

        recv_q,send_q = get_queue_size()

        print(f"cpu_load:{cpu_load} TCP_conn:{TCP_conn} TCP_Queue:{recv_q,send_q}")
        time.sleep(2)
        #print(type())
        if cpu_load > 33.3 or TCP_conn > 2000 or recv_q > send_q -10:
            print("CPU 负载过高或TCP连接数太多,可能遭遇DOS攻击,请注意!!!")

四、利用IP查询实现DOS防御

要实现DOS防御,除了能够检测到DOS攻击,必须还要对检测到的情况进行防御

对连接数量超标的ip地址进行封禁

  • 找到连接数量超标的IP地址
    • 通过执行 netstat -ant 我们可以查看tcp连接情况,然后再通过grep和其他处理方式找到所有连接我们的IP地址
    • 对所有连接本地服务器的IP地址进行处理,利用字典的特性可以统计每一个IP地址连接本地服务器的数量,找到超标的IP地址,执行防火墙将其封禁
def get_most_ip_basic():
    netstat = os.popen('netstat -ant | findstr :80').read()
    netstat_list = netstat.split('\n')
    ip_list=[]
    for line in netstat_list:
        try:
            ip = line.split()[2].split(':')[0]
            ip_list.append(ip)
            #print(ip)
        except:
            pass

    ip_dict = {}
    for ip in ip_list:
        if ip in ip_dict.keys():
            ip_dict[ip] += 1
        else:
            ip_dict[ip] = 1
    # print(ip_dict)
    # 默认对可迭代变量进行升序排序,所以改为降序排列
    sort = sorted(ip_dict.values(),reverse=True)
    # print(sort)
    for key,value in ip_dict.items():
        if value == sort[0]:
            return key,value

上面代码适合windows运行,下面适合linux运行

def get_most_ip():
    netstat = os.popen('netstat -ant | grep :80').read()
    netstat_list = netstat.split('\n')
    ip_list=[]
    for line in netstat_list:
        try:
            ip = line.split()[4].split(':')[0]
            ip_list.append(ip)
            #print(ip)
        except:
            pass
    # 直接使用Python内置的计数器来实现排序
    ip_dict = Counter(ip_list)
    most_ip = ip_dict.most_common(1)
    # print(most_ip)
    # print(type(most_ip))  # <class 'list'>
    return most_ip

主调函数

if __name__ == '__main__':
    while True:
        #cpu_load = get_cpu_load_01()
        #cpu_load = get_cpu_load_02()
        cpu_load = get_cpu_load_03()

        TCP_conn = get_TCP_conn()

        recv_q,send_q = get_queue_size()

        print(f"cpu_load:{cpu_load} TCP_conn:{TCP_conn} TCP_Queue:{recv_q,send_q}")
        time.sleep(2)
        #print(type())
        if cpu_load > 33.3 or TCP_conn > 2000 or recv_q > send_q -10:
            print("CPU 负载过高或TCP连接数太多,可能遭遇DOS攻击,请注意!!!")
            most_ip = get_most_ip()
            print(f"出现可疑IP:{most_ip[0][0]} 具有连接数:{most_ip[0][1]} ")
            firewall_mostip(most_ip[0][0])

标签:load,Python,ip,netstat,TCP,防御,print,DOS,cpu
From: https://blog.csdn.net/YhMjQx/article/details/141599905

相关文章

  • Python开发之DOS智能检测
    文章目录==故障上报与处理==1、设备状态信息2、性能参数3、网络连接信息4、智能预警故障上报与处理在一些简单的IIoT设备中,可能只包含一个或多个嵌入式系统,这些系统专门设计用于执行特定的任务,并且不包含传统意义上的操作系统。这些设备通常使用微控制器(MCU)或微处......
  • 【python3.8安装报错】lmportError: DLL load failed while importing ft2font: 找不
    客户需求背景:安装python3.8无法运行,报错lmportError:DLLloadfailedwhileimportingft2font:找不到指定的模块 考虑兼容性问题这个问题首先需要考虑的是是否是python版本太高了,因为python3.9不支持win7,而python3.8版本对win7的兼容性也有一定的限制。解决:首先考......
  • 四皇后问题Python实现
    四皇后问题是出自于国际象棋来提出的,众所周知,皇后(queen)在国际象棋中可以控制横竖以及斜线的棋子,那么四皇后的规则是什么呢,咱们废话不多说,直接进入它的规则。1.四皇后问题的规则四皇后问题其实就是把四个皇后放在一个四*四的棋盘上使这些皇后不被互相控制就像这样:那么怎么......
  • 基于OpenCV-Python实现人脸识别-----摄像头捕获人脸图像显示中文乱码问题
    基于OpenCV-Python实现人脸识别时,为了使图像上显示识别到人员的中文名字,做了几次尝试,使用PIL.Image和OpenCV图像格式相互转换解决:使用OpenCV将图片灰度化,对加载的灰度化图使用分类器中的detectMultiScale()函数查找目标人脸,并使用for循环实现矩形框和圆形框框住查找到的人脸。......
  • 4.Python操控Excel之格式
    1.设置字体斜体、加粗、颜色2.计算公式3.设置表格高度和宽度4.指定单元格合并5.取消指定单元格合并 ......
  • PyJWT 和 python-jose 在处理JWT令牌处理的时候的差异和具体使用
    PyJWT和python-jose是两个用于处理JSONWebTokens(JWT)的Python库。它们都有助于生成、解码、验证和管理JWT,但它们在功能范围和设计哲学上有一些重要的区别。本篇介绍它们之间的一些差异,以及在项目中使用FastAPI+ python-jose 来处理访问令牌的生成以及一些例子代码供......
  • Python - Anti-Patterns
    Thesearecommonprogrammingpractices that,whilenotnecessarilywrong,oftenleadtolessefficient,lessreadable,andlessmaintainablecode. Byunderstandingthesepitfalls,youcanwritecleaner,moreefficientcodeforyourPythonapplications. ......
  • PEP 508:为不同版本Python指定不同依赖
    问题背景有些常用的第三方包,在Python中支持的版本是不一致的。例如常用的numpy,在Python3.7中仅支持到1.21版本,其他Python版本可以支持到1.22版本以上,甚至现在的2.0版本以上。有一个问题是,在有些Cython的使用场景中,numpy==1.22的版本有可能出现报错ImportError:numpy.core.multia......
  • 10 个令人惊叹的 Python 自动化脚本!
                                                                            /01/剪贴板管理器你是否曾发现自己忙于处理多个文本片段,而忘记了自己复制了什么?有没有想过有一个工具可以记录你一天中......
  • 3.Python操控Excel之写
    1.openpyxl读取excel的格式流程2.openpyxl修改sheet标题并生成新excel保存3..create_sheet方法添加sheet,.remove方法删除sheet4.excel数据填充的四种方式5.1.更新excel内一列数据中的部分数据_代码部分5.2.更新excel内一列数据中的部分数据_执行结果......