自動抓包shell指令碼

標籤：

由於機房核心下的客戶眾多，其中不免很多大客戶，正所謂樹大招風，近期機房某些客戶總是被流量攻擊，預防的辦法也只能是找到具體被攻擊的ip地址，然後在上層核心將該ip配置空路由將攻擊流量攔截在骨幹層，以免影響其他使用者的正常使用，目前我每台核心都做了鏡像連接埠，將上聯流量鏡像到一台centos的抓包伺服器，每次發生故障的時候直接tcpdump抓包來分析，但是近期攻擊都在半夜，爬起來去抓包的時候攻擊都已經停了，不要說去解決問題了，連後期的故障說明都沒法出；所以為了保留抓包的資料，在網上找了些資料根據環境測試來寫了個簡單的自動抓包的指令碼，下面貼出來：

 

1：抓包指令碼 tcpdump.sh

#!/bin/sh
while [ 1 ]
do
STIME=`date +%F"@"%H%M%S`
DATE_DIR=`date +%F`
if [ ! -d /data/$DATE_DIR ];then
mkdir -p /data/$DATE_DIR
fi
/usr/sbin/tcpdump -i eth1 -c 30000 -w /data/$DATE_DIR/$STIME.pcap > /dev/null 2>&1 &      #後台抓包，監控eth1連接埠，每次自動抓包3w個自動停止並儲存到相應目錄，這個值可以根據需要來修改
sleep 1m   抓包後停止1分鐘繼續抓
done

 

2：監控硬碟使用率指令碼 monitor-disk.sh  ，由於連續抓包會產生眾多pcap資料檔案，非常佔用硬碟空間，所以監控硬碟使用率是保證監控指令碼健康啟動並執行前提條件，下面寫了個指令碼，可以設定計劃任務，每6個小時執行一次，監控硬碟使用率大於50%（可以根據情況修改），則自動篩選出最早的備份檔案夾並刪除

#!/bin/bash
FREEDISK=`df -h|grep "/dev/sda1"|awk ‘{print $5}‘|awk -F % ‘{print $1}‘`
HEADMOST=`ls -l /data|grep ^d|awk ‘{print $NF}‘|sort|head -n 1`
#check free disk status
if [ "$FREEDISK" -ge "50" ];then
rm -rf /data/"$HEADMOST"
fi

將上述指令碼加入計劃任務即可，end

自動抓包shell指令碼