/24マスクと/16マスクでSPAM送信元のIPアドレスのばらけ具合にどれほど差があるか見てみた。
# cat access.log|grep -e "30/Aug/2006:"|grep mt-tb.cgi|awk 'FS="." {print $1"."$2"."$3;}'|sort |uniq -c|sort -k1 -nr|wc
613 1226 11528
# cat access.log|grep -e "30/Aug/2006:"|grep mt-tb.cgi|awk 'FS="." {print $1"."$2;}'|sort |uniq -c|sort -k1 -nr|wc
475 950 7281
むー、/16にしても、そんなに集約されないなぁ。
SPAM送信元もロングテールなのか(^^;
こんな↓風にして、そのまま/var/lib/iptables/activeに書き加え。
返信削除cat access.log access.log.1|grep mt-tb.cgi/|grep POST|awk 'FS="." {print $1"."$2"."$3;}'|sort |uniq -c|sort -k1 -nr|awk '$1 > 10 {print "[0:0] -A INPUT -i eth0 -s "$2".0/24 -p tcp --dport 80 -j DROP";}'
grep POSTを入れないと、viewでくる人まで弾いちゃう。