Linux是一個(gè)操作系統(tǒng)，區(qū)別于我們平時(shí)所用的計(jì)算機(jī)系統(tǒng)，很多做開發(fā)和安全的人員會(huì)在linux上運(yùn)行一些東西。linux也是一個(gè)強(qiáng)大的系統(tǒng)，本文就圍繞Linux 服務(wù)器下流量監(jiān)控報(bào)警系統(tǒng)shell 腳本實(shí)現(xiàn)展開了一些論述，文章是一篇通信技術(shù)論文發(fā)表范文。

 　　摘要：隨著云計(jì)算的到來，相應(yīng)的大數(shù)據(jù)和物聯(lián)網(wǎng)也隨之興起。然而網(wǎng)絡(luò)信息安全的形勢(shì)非常嚴(yán)峻。現(xiàn)在網(wǎng)絡(luò)服務(wù)器都是集群式分布，很多服務(wù)器集中起來一起進(jìn)行同一種服務(wù)，實(shí)現(xiàn)負(fù)載均衡，在客戶端看來就像是只有一個(gè)服務(wù)器。集群可以利用多個(gè)計(jì)算機(jī)進(jìn)行并行計(jì)算從而獲得很高的計(jì)算速度，但是如果服務(wù)器被攻擊，將會(huì)導(dǎo)致整個(gè)服務(wù)器集群受到影響，甚至有可能導(dǎo)致宕機(jī)，導(dǎo)致用戶無法使用提供的服務(wù)，造成嚴(yán)重的損失。14年的qq郵箱大規(guī)模的癱瘓就是非常的例子。往往造成這種問題的是我們眾所周知的DDoS。當(dāng)受到DDoS攻擊時(shí)，服務(wù)器流量會(huì)驟增為平時(shí)的幾十倍，通過流量監(jiān)控及時(shí)報(bào)警運(yùn)維工程師處理，以免造成服務(wù)器大規(guī)模宕機(jī)。我們通過實(shí)時(shí)監(jiān)測(cè)網(wǎng)卡流量變化，通過郵件引擎實(shí)現(xiàn)第一時(shí)間報(bào)警，及時(shí)處理，減少攻擊帶來的危害。

　　關(guān)鍵詞：云計(jì)算,網(wǎng)絡(luò)信息安全,服務(wù)器集群,負(fù)載均衡,DDoS

　　DoS是Denial of Service的簡(jiǎn)寫就是拒絕服務(wù)，而DDoS就是Distributed Denial of Service的簡(jiǎn)寫就是分布式拒絕服務(wù)。DDoS是利用TCP三次握手的漏洞進(jìn)行攻擊的，所以對(duì)它們的防御辦法都是差不多的。DDoS也是黑客門慣用的手段，讓網(wǎng)絡(luò)服務(wù)商防不勝防，雖然現(xiàn)在也有很多物理防火墻等安全手段，一個(gè)大的網(wǎng)站可能有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)，但是在大規(guī)模的DDoS攻擊面前依然不堪一擊。

　　分布式拒絕服務(wù)攻擊采取的攻擊手段就是分布式的，在攻擊的模式改變了傳統(tǒng)的點(diǎn)對(duì)點(diǎn)的攻擊模式，使攻擊方式出現(xiàn)了沒有規(guī)律的情況，而且在進(jìn)行攻擊的時(shí)候，通常使用的也是常見的協(xié)議和服務(wù)，這樣只是從協(xié)議和服務(wù)的類型上是很難對(duì)攻擊進(jìn)行區(qū)分的。在進(jìn)行攻擊的時(shí)候，攻擊數(shù)據(jù)包都是經(jīng)過偽裝的，在源IP 地址上也是進(jìn)行偽造的，這樣就很難對(duì)攻擊進(jìn)行地址的確定，在查找方面也是很難的。這樣就導(dǎo)致了分布式拒絕服務(wù)攻擊在檢驗(yàn)方法上是很難做到的。

　　此流量監(jiān)控報(bào)警系統(tǒng)是在centos 7 版本下使用shell腳本撰寫的，通過郵件報(bào)警。現(xiàn)在智能手機(jī)的普及，郵件也能像短信即使告警，通知服務(wù)器運(yùn)維人員。此腳本包包含主程序、子程序、配置文件、郵件引擎、輸出日志等。

　　主程序：作為整個(gè)腳本的入口，是整個(gè)系統(tǒng)的命脈。

　　配置文件：是一個(gè)控制中心，用它來開關(guān)各個(gè)子程序，指定各個(gè)相關(guān)聯(lián)的日志文件。

　　子程序：這個(gè)才是真正的監(jiān)控腳本，用來監(jiān)控各個(gè)指標(biāo)。

　　郵件引擎：是原本是由一個(gè)php程序來實(shí)現(xiàn)，它可以定義發(fā)郵件的服務(wù)器、發(fā)郵件人以及收郵件人。但是如果發(fā)表在本論文里，會(huì)導(dǎo)致篇幅過長(zhǎng)，所以調(diào)用了系統(tǒng)自帶的mailx郵件引擎。

　　輸出日志：整個(gè)監(jiān)控系統(tǒng)要有日志輸出。

　　我們的機(jī)器角色多種多樣，但是所有機(jī)器上都要部署同樣的監(jiān)控系統(tǒng)，也就說所有機(jī)器不管什么角色，整個(gè)程序框架都是一致的，不同的地方在于根據(jù)不同的角色，定制不同的配置文件。

　　程序架構(gòu)：

　　monitor/bin/main.sh

　　monitor/conf/mon.conf

　　monitor/mail/mail.sh

　　monitor/log/ main.log、main_err.log、mail.log、mail_err.log、number.log、timestamp.log、network_traffic.txt

　　其中bin下是主程序，conf下是配置文件，mail下是郵件引擎，log下是日志及需要發(fā)送的郵件內(nèi)容。此腳本包中的程序是使用的相對(duì)路徑，如果使用該腳本包請(qǐng)按照以上程序架構(gòu)對(duì)應(yīng)的路徑。

　　1)main.sh

　　#! /bin/bash

　　#Written by Liuzhiyuan.

　　export send=1 # #報(bào)警控制開關(guān)##

　　export ip=`/sbin/ifconfig |grep -A1 'enp134s0' |grep 'inet' |awk '{print $2}'`

　　dir=`pwd`

　　last_dir=`echo $dir|awk -F'/' '{print $NF}'`

　　if [ $last_dir == "bin" ]; then

　　conf_file="../conf/mon.conf"

　　else

　　echo "you shoud cd bin dir"

　　exit

　　fi

　　exec 1>>../log/main.log 2>>../log/main_err.log

　　while [ 0 ]; do

　　sleep 60 ##一分鐘控制時(shí)間，一分鐘檢測(cè)一次##

　　if grep -q 'to_mon_traffic=1' $conf_file; then

　　echo $ip > ../log/network_traffic.txt

　　/usr/bin/sar -n DEV 1 10 >> ../log/network_traffic.txt

　　##當(dāng)前10秒瞬時(shí)流量及10秒平均流量，以防單一秒內(nèi)瞬時(shí)流量驟增，導(dǎo)致誤判##

　　traffic_value=`tail -n3 ../log/network_traffic.txt |grep enp134s0 |awk '{print $5}'` ##截取流量平均值##

　　traffic_value=` echo $traffic_value |awk -F'.' '{print $1}'` 　　echo $traffic_value

　　tcpdump -nn -i enp134s0 -c 10 >> ../log/network_traffic.txt ##抓取攻擊ip#

　　fi

　　if [ $traffic_value > 1 ] && [ $send == 1 ]; then

　　/bin/bash ../mail/mail.sh $ip $traffic_value ../log/network_traffic.txt

　　fi

　　done

　　2)mail.sh

　　郵件控制腳本，原本是由php實(shí)現(xiàn)的，但是由于篇幅過長(zhǎng)，改為調(diào)用系統(tǒng)自帶的mailx來實(shí)現(xiàn)，如果系統(tǒng)內(nèi)未內(nèi)置，請(qǐng)使用yum install mailx-12.5-12.el7_0.x86_64 安裝。使用maix之前需要先配置/etc/mail.rc 文件，在該文件最下面加入以下內(nèi)容：

　　set from=*******@qq.com smtp=smtp.qq.com

　　set smtp-auth-user=##qq號(hào)## smtp-auth-password=##qq密碼##

　　set smtp-auth=login

　　如果測(cè)試不能發(fā)送郵件，請(qǐng)?jiān)卩]箱設(shè)置里打開POP3/SMTP服務(wù)。

　　由于服務(wù)器是集群式分布，一個(gè)運(yùn)維人員要管理上百臺(tái)服務(wù)器。如果服務(wù)器集群受到DDoS攻擊，不會(huì)只是單一的一臺(tái)服務(wù)器會(huì)報(bào)警，而是上百臺(tái)服務(wù)器同時(shí)報(bào)警。DDoS攻擊一般會(huì)持續(xù)很長(zhǎng)時(shí)間，

　　如果每分鐘有上百臺(tái)機(jī)器發(fā)郵件到自己的郵箱會(huì)是怎樣一個(gè)折磨人的事情。如果這里使用短信作為報(bào)警手段，那么也會(huì)給企業(yè)帶來不必要的損失，所以這里實(shí)現(xiàn)了郵件的收斂。如果遭受到攻擊且距離上次受到攻擊的時(shí)間有一個(gè)小時(shí)以上，那么會(huì)立即發(fā)送郵件。如果受到攻擊且距離上次被攻擊的時(shí)間在一個(gè)小時(shí)以內(nèi)，就通過計(jì)數(shù)累計(jì)10分鐘發(fā)一次郵件。初次使用本腳本包時(shí)，需要預(yù)先在number.log 和timestamp.log 置0.

　　#! /bin/bash

　　#Written by Liuzhiyuan.

　　exec 1>>../log/mail.log 2>>../log/mail_err.log

　　t_s1=`date +%s`

　　t_s2=`tail -1 ../log/timestamp.log`

　　v=$[$t_s1-$t_s2]

　　if [ $v -gt 3600 ];then

　　/usr/bin/mailx -s "$1 traffic_rate $2" 351843010@qq.com < $3

　　echo `date +%s` > ../log/timestamp.log

　　else

　　nu=`cat ../log/number.log`

　　nu=$[$nu+1]

　　echo $nu>../log/number.log

　　if [ $nu -ge 10 ];then

　　/usr/bin/mailx -s " $1 traffic_rate $2 trouble continue 10 min" 351843010@qq.com < $3

　　echo "0" > ../log/number.log

　　fi

　　fi

　　3)mon.conf

　　為了此腳本的可擴(kuò)展性，在此配置文件獨(dú)立出來，是為了更好的控制各種監(jiān)控程序。

　　## to config the options if to monitor

　　to_mon_php_socket=0

　　## network traffic

　　to_mon_traffic=1

　　最后，log里的文件需要按照要求提前創(chuàng)建。把mian.sh 加入開機(jī)啟動(dòng)項(xiàng)，也可以直接手動(dòng)運(yùn)行，sh main.sh & 以后臺(tái)這種方式運(yùn)行。

　　通過shell腳本進(jìn)行實(shí)時(shí)進(jìn)行網(wǎng)卡流量監(jiān)控，并通過shell腳本控制郵件的發(fā)送及發(fā)送頻率，能夠及時(shí)報(bào)告服務(wù)器的負(fù)載情況，這對(duì)網(wǎng)絡(luò)運(yùn)維至關(guān)重要。

　　參考文獻(xiàn)：

　　[1] 李世明.跟阿銘學(xué)Linux[M].北京;人民郵電出版社，2014.

　　通信技術(shù)論文發(fā)表期刊推薦《數(shù)字通信》開辦已歷時(shí)六年之久。在這六年中我們?cè)俨粩嗟呐�力，不斷的超越。以最前沿的時(shí)尚數(shù)碼資訊，最專業(yè)的評(píng)測(cè)內(nèi)容在數(shù)碼雜志業(yè)穩(wěn)局第一寶座。同時(shí)也擁有了大批讀者與客戶并得到百分好評(píng)!