標籤:
由於機房核心下的客戶眾多,其中不免很多大客戶,正所謂樹大招風,近期機房某些客戶總是被流量攻擊,預防的辦法也只能是找到具體被攻擊的ip地址,然後在上層核心將該ip配置空路由將攻擊流量攔截在骨幹層,以免影響其他使用者的正常使用,目前我每台核心都做了鏡像連接埠,將上聯流量鏡像到一台centos的抓包伺服器,每次發生故障的時候直接tcpdump抓包來分析,但是近期攻擊都在半夜,爬起來去抓包的時候攻擊都已經停了,不要說去解決問題了,連後期的故障說明都沒法出;所以為了保留抓包的資料,在網上找了些資料根據環境測試來寫了個簡單的自動抓包的指令碼,下面貼出來:
1:抓包指令碼 tcpdump.sh
#!/bin/sh
while [ 1 ]
do
STIME=`date +%F"@"%H%M%S`
DATE_DIR=`date +%F`
if [ ! -d /data/$DATE_DIR ];then
mkdir -p /data/$DATE_DIR
fi
/usr/sbin/tcpdump -i eth1 -c 30000 -w /data/$DATE_DIR/$STIME.pcap > /dev/null 2>&1 & #後台抓包,監控eth1連接埠,每次自動抓包3w個自動停止並儲存到相應目錄,這個值可以根據需要來修改
sleep 1m 抓包後停止1分鐘繼續抓
done
2:監控硬碟使用率指令碼 monitor-disk.sh ,由於連續抓包會產生眾多pcap資料檔案,非常佔用硬碟空間,所以監控硬碟使用率是保證監控指令碼健康啟動並執行前提條件,下面寫了個指令碼,可以設定計劃任務,每6個小時執行一次,監控硬碟使用率大於50%(可以根據情況修改),則自動篩選出最早的備份檔案夾並刪除
#!/bin/bash
FREEDISK=`df -h|grep "/dev/sda1"|awk ‘{print $5}‘|awk -F % ‘{print $1}‘`
HEADMOST=`ls -l /data|grep ^d|awk ‘{print $NF}‘|sort|head -n 1`
#check free disk status
if [ "$FREEDISK" -ge "50" ];then
rm -rf /data/"$HEADMOST"
fi
將上述指令碼加入計劃任務即可,end
自動抓包shell指令碼