#!/usr/bin/perl 
# 防砍站小程式 
# 肉脚梁枫制作 
# v 0.0超级不稳版 
# 制作日期：2003.1.31 
# 版权 GPL 

# 资料设定 

$Max_Connect_Number = 300;       # 最多能有多少连结 
$IPFW_Number = 950;             # 防火墙规则设定在第几条规则 没必要可以不动 
$PATH = '/tmp/'                # 暂存档路径 
$Netstat = 'temp1'             #暂存档1 没必要就不用乱动了！ 
$CN = 'temp2'                  #暂存档2 没必要就不用乱动了！C 

#系统设定 

$USR_BIN_PATH = '/usr/bin/' 
$BIN_PATH = '/bin/' 
$SBIN_PATH = '/sbin/' 


#以下就可以不用动了 

system("$USR_BIN_PATH"."netstat -na > $PATH$Netstat"); 

open(IPFW,$PATH.$Netstat); 
open(IPFW2,">$PATH$CN") ||die("can't open IPFW2 file\n"); 

while($line = <IPFW>){ 
        $line =~ s/ +/,/g; 
        print IPFW2 "$line" || die("can't input IPFW2"); 

} 
close IPFW; 
close IPFW2; 
system("$BIN_PATH"."rm -rf $PATH$Netstat"); 
system("$USR_BIN_PATH"."cut -f 1,5 -d , $PATH$CN > $PATH$Netstat"); 
open(IPFW,$PATH.$Netstat); 
open(IPFW2,">$PATH$CN"); 
while(<IPFW>){ 
        ($line[0],$line[1],$line[2]) = split(/,/); 
        chomp($_); 

        chomp($line[0],$line[1]); 
        if($line[0] eq "tcp4"){ 
                ($IP[0],$IP[1],$IP[2],$IP[3]) = split(/\./,$line[1]); 
                if($IP[0] > 1 and $IP[0] != 127){ 
                        if($IP[0] == 61 and $IP[1] == 63 and $IP[2] == 145 and $IP[3] >= 65 and $IP[3] <= 94){}else{ 
                                print IPFW2 "$IP[0].$IP[1].$IP[2].$IP[3]\n"; 
                        } 
                } 
        } 
} 
close IPFW; 
close IPFW2; 
system("$USR_BIN_PATH"."sort $PATH$CN | $USR_BIN_PATH"."uniq -c > $PATH$Netstat"); 

open(IPFW,$PATH.$Netstat); 
open(IPFW2,">$PATH$CN"); 
while($line = <IPFW>){ 
        $line =~ s/ +/,/g; 
        ($IP[0],$IP[1],$IP[2])=split(/\,/,$line); 
        if($IP[1] >= $Max_Connect_Number){ 
                chomp($IP[2]); 
                system("$SBIN_PATH"."ipfw add $IPFW_Number deny all from $IP[2] to any"); 
                system("$SBIN_PATH"."ipfw add $IPFW_Number deny all from any to $IP[2]"); 
                print "$SBIN_PATH"."ipfw add $IPFW_Number deny all from $IP[2] to any\n"; 
        } 
} 
close IPFW; 
close IPFW2; 
system("$BIN_PATH"."rm -rf $PATH$Netstat;rm -rf $PATH$CN"); 

 
#!/bin/sh

## 以下请自行依照您的环境进行合宜的设定

# 设定网页伺服器的通讯埠号, 一般通用的埠号为 80
HTTP_PORT="80"

# 设定要忽略的 IP, 每个 IP 以 "|" 隔开, 这些 IP 将永远不会被阻挡。
# 此变数数请务必至少设定一个 IP, 否则会造成 script 无法运作
SKIP_IPS="127.0.0.1|0.0.0.0"

# 设定允许同时连线网页伺服器的次数
MAX_TRY=10

# 设定一个链名, 所有阻挡特定 IP 的规则将统一放置于此链中
BLOCKCHAIN="blockhttp"

## 以下设定一般情形下保留预设值即可

# 记录档的路径与档案名称
LOGFILE="/var/log/block_http.log"

# 记录档内的日期格式, 关于格式的代号与意义, 请执行 man date 阅读其说明文件
DATEFMT="%Y/%m/%d %R"

# 设定系统执行档的路径
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# 设定阻挡特定 IP 的函式
blockip () {

   [ "`iptables -L -n | grep $BLOCKCHAIN | wc -l`" -lt 2 ] && {
      iptables -N $BLOCKCHAIN
      iptables -A INPUT -j $BLOCKCHAIN
   }
   iptables -L $BLOCKCHAIN -n | grep $1 >/dev/null 2>&1 || \
   iptables -A $BLOCKCHAIN -s $1 -j DROP
}

# 列出目前所有连线, 并计算各 IP 的重复次数
netstat -tn | awk "/:$HTTP_PORT .*TIME_WAIT/ { 
   match(\$5, /[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/);
   ip=substr(\$5, RSTART, RLENGTH)
   if ( ip ~ /$SKIP_IPS/ ) {}
   else print ip}" | \
sort | uniq -c | \
while read num ip; do

   # 如果 $num 内的数字大于 $MAX_TRY 所指定的次数, 则使用 blockip 函式
   # 阻挡 $ip 的连线
   if [ "$num" -ge "$MAX_TRY" ]; then
      blockip $ip
      echo "`date +"$DATEFMT"` blocking $ip... CONN=$num" >> $LOGFILE
   fi

done