很多網(wǎng)絡愛好者都比較癡迷程序的編寫，那ddos攻擊器如何編寫呢？了解網(wǎng)絡安全常識，首先就要了解常見電腦黑客攻擊類型與預防方法，下面佰佰安全網(wǎng)小編就帶您認識一下吧。

一、讀取文件

這里我用了判斷語句，起初我是想寫出類似于access=more /usr/access*.*，將這個路徑全部加到變量里，方便判斷，因為在shell里，只能將固定文件、文件夾作為變量，變量中不能加*號（我是沒找到別的方法，有知道大牛請?zhí)狳c下小弟），所以就想了個笨辦法，用匹配關鍵詞的方式來判斷特定目錄下，是apache日志，還是weblogic日志，還是IIS日志，具體判斷方法如下：

if ls -l /usr/ | egrep "access";then

more /usr/access*.* | egrep "多個關鍵詞"

else

more /usr/ex*.log | egrep“多個關鍵詞”

fi

這樣的方式來進行判斷，但是這樣判斷有個缺點，就是中間件日志在/usr/目錄下，只能存在一種，比如同時存在apache和IIS的日志，就會優(yōu)先判斷apache的，進而不會執(zhí)行IIS日志分析的語句。而且，為了不跟之前的歷史數(shù)據(jù)混亂，在腳本執(zhí)行開始，清空了下數(shù)據(jù)。

file=/usr/nmgxy/

if [ -e "$file" ];then

echo "日志目錄存在，跳過創(chuàng)建過程，該操作會清空/usr/nmgxy/目錄下所有數(shù)據(jù)"

echo "按回車鍵開始清空數(shù)據(jù)，結束請點擊Ctrl+c"

read key

rm -r /usr/nmgxy/*

mkdir -p /usr/nmgxy/LFI/ /usr/nmgxy/exp/ /usr/nmgxy/sql/ /usr/nmgxy/scan/ /usr/nmgxy/xss/ /usr/nmgxy/getshell/ /usr/nmgxy/dir/

else

mkdir -p /usr/nmgxy/ /usr/nmgxy/LFI/ /usr/nmgxy/exp/ /usr/nmgxy/sql/ /usr/nmgxy/scan/ /usr/nmgxy/xss/ /usr/nmgxy/getshell/ /usr/nmgxy/dir/

fi

echo "分析結果日志保存在/usr/nmgxy/目錄下"

echo ---------------------日志目標文件---------------------------

if ls -l /usr/ | egrep "access";then

echo --------------------統(tǒng)計出現(xiàn)次數(shù)最多的前20個IP地址-----------------

cat /usr/access*.* |awk '{print $1}' |sort |uniq -c |sort -rn |head -20 >/usr/nmgxy/top20.log

echo "統(tǒng)計完成"

二、定義攻擊特征

日志讀取的問題解決了，接下來就是定義攻擊特征的事兒了，攻擊特征比較好定義。例如，SQL注入攻擊的判斷：

echo ------------------------SQL注入攻擊sql.log----------------

echo "開始分析存在SQL注入的攻擊行為，并將結果保存在/usr/nmgxy/sql/目錄下"

more /usr/access*.* |egrep "%20select%20|%20and%201=1|%20and%201=2|%20exec|%27exec| information_schema.tables|%20information_schema.tables|%20where%20|%20union%20|%20SELECT%20|%2ctable_name%20|cmdshell|%20table_schema" >/usr/nmgxy/sql/sql.log

echo "分析結束"

awk '{print "共檢測到SQL注入攻擊" NR"次"}' /usr/nmgxy/sql/sql.log|tail -n1

echo "開始統(tǒng)計SQL注入攻擊事件中，出現(xiàn)頻率最多的前20個IP地址"

cat /usr/nmgxy/sql/sql.log |awk -F "[" '{print $1}' |sort |uniq -c |sort -rn |head -20 >/usr/nmgxy/sql/top20.log

echo ----------------------------------------------------------

more /usr/nmgxy/sql/top20.log

echo "統(tǒng)計結束"

我把一些常見的SQL注入攻擊的特征寫到了里面，去掉了MSSQL數(shù)據(jù)庫存儲過程以及MSSQL數(shù)據(jù)庫才會出現(xiàn)的一些注入語句。

三、輸出匹配到的含有攻擊特征的記錄

將匹配到的攻擊特征內(nèi)容，重新輸出到了另外一個log里面，相當于做了一次篩選/usr/nmgxy/sql/sql.log

more/usr/access*.*|egrep"%20select%20|%20and%201=1|%20and%201=2|%20exec|%27exec|information_schema.tables|%20information_schema.tables|%20where%20|%20union%20|%20SELECT%20|%2ctable_name%20|cmdshell|%20table_schema" >/usr/nmgxy/sql/sql.log

然后二次分析這個篩選過的文件，統(tǒng)計SQL注入攻擊出現(xiàn)的次數(shù)

awk '{print "共檢測到SQL注入攻擊" NR"次"}' /usr/nmgxy/sql/sql.log|tail -n1

輸出完畢后，將攻擊出現(xiàn)最多的前20個IP地址進行統(tǒng)計并顯示到屏幕上

echo "開始統(tǒng)計SQL注入攻擊事件中，出現(xiàn)頻率最多的前20個IP地址"

cat /usr/nmgxy/sql/sql.log |awk -F "[" '{print $1}' |sort |uniq -c |sort -rn |head -20 >/usr/nmgxy/sql/top20.log

echo

more /usr/nmgxy/sql/top20.log

echo "統(tǒng)計結束"

四、輸出結果

這個在代碼開頭，創(chuàng)建了一些文件夾，用來存放篩選過的記錄

mkdir -p /usr/nmgxy/LFI/ /usr/nmgxy/exp/ /usr/nmgxy/sql/ /usr/nmgxy/scan/ /usr/nmgxy/xss/ /usr/nmgxy/getshell/ /usr/nmgxy/dir/

中間刪刪改改折騰了好幾次。后來針對特定的攻擊，我們比較關注（重點是比較好寫的= =）的內(nèi)容做了HTTP響應請求200/500的判斷，并輸出結果。

關于網(wǎng)絡安全小知識，佰佰安全網(wǎng)小編為您介紹和普及這么多了，看完上面的介紹，您對“ddos攻擊器如何編寫”這個問題了解多少了呢？掌握和了解ddos攻擊器的編寫方法對于我們防范它來說有著至關重要的意義和影響。

責任編輯:慕丹萍