Script BASH para ayudar a nuestro firewall a cubrir ataques DDOS

A continuación les voy a dejar un script que restringe el acceso de IPS (Las bloquea) a su servidor cuando su servidor este recibiendo un ataque. Este script solo se debe ejecutar en el momento en que detecten que el servidor este siendo atacado, su función como lo indica el titulo es ayudar al firewall a bloquear las IPS atacantes para poder restablecer el servicio más rápidamente.
Una indicación mas, el script cuenta con dos partes:

1)   blockIP.sh
2)   ataques-reading.sh

blockIP.sh: es el script que bloquea a las ips.
ataques-reading.sh: es el script que chequea las conexiones en el momento del ataque y las identifica como atacantes o no.

Lo único que tienen que hacer es subir los scripts a la carpeta root y luego asignarle los permisos.

1)   Chmod 777 blockIP.sh
2)   Chmod 777 ataques-reading.sh

En el momento del ataque entrar por consola, a la carpeta root donde están plantados los scripts y ejecutar:

./ataques-reading.sh

Y del resto del trabajo se encargan los scripts.

Por otra parte pueden usar el script blockIP.sh para filtrar ips individuales:

./blockIP.sh LAIP
./blockIP.sh 192.168.1.3

Si ustedes son administradores de sistemas y tienen colaboradores que no tienen demasiada noción en el área pueden instalar el script blockIP.sh para facilitarle la tarea, ya que muchas veces es necesario bloquear alguna que otra ip.

blockIP.sh
------------------------------------------------------------------------------------------------

Código:

#!/bin/bash

if [ $# -eq 0 ] ; then
   echo -e " Uso: $0 IPs_a_bloquear\n"
   exit 1
fi

while [ $# -ne 0 ] ; do
   if [ "$1" == "127.0.0.1" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.136" -o "`echo $1 | cut -d'.' -f 1-3`" == "170.210.156" ] ; then
echo " No se bloquea $1!!!"
   else
IP="$1"
echo -n "Bloqueando $IP..."
iptables -I INPUT -s $IP -j DROP
echo -en "\nRegistrando $IP..."
echo "$IP" >> /root/blockIP.rules
echo
   fi
   shift
done

exit 0

------------------------------------------------------------------------------------------------

ataques-reading.sh
------------------------------------------------------------------------------------------------

Código:

#!/bin/bash

cd /root
CONTADOR=0

while true ; do
   [ "$1" == "-d" ] && echo -e "\nEntro al while\n"
   for IP in $(netstat -napt | grep -E "SYN_RECV|_WAIT" | sort -n -k 5 | awk '{print $5}' | cut -d':' -f 1 | sort -u | grep -vE "170.210.15[2-6]|127.0.0.1|170.210.156") ; do
CANT=$(netstat -napt | grep "$IP" | wc -l)
[ "$1" == "-d" ] && echo "Entro al for - $IP - $CANT"
if [ $CANT -gt 15 ] ; then
(iptables -nL | grep -qw $IP) && continue
CONTADOR=$[CONTADOR+1]
echo "$IP: $CANT conexiones - CONTADOR: $CONTADOR"
/root/blockIP.sh $IP
/etc/init.d/apache2 restart 2>/dev/null
/etc/init.d/postgres restart 2>/dev/null
if [ $CONTADOR -eq 20 ] ; then
CONTADOR=0
fi
echo
fi
   done
   sleep 5
done

exit

------------------------------------------------------------------------------------------------

PD: TIENEN QUE MODIFICAR EL SCRIP por ejemplo 170.210.156 es la IP de salida del servidor en donde esta.

/etc/init.d/apache2 restart 2>/dev/null
/etc/init.d/postgres restart 2>/dev/null

yo reinicio apache y la base de datos, ustedes pueden modificar.

blockIP.rules (pueden sacarlo o dejarlo, allí van quedando las ips que se filtran)