Los ataques DDoS se caracterizan por muchas conexiones de diferentes direcciones IP

Una simple manera de ver si un servidor está bajo ataque es con el comando:

netstat -alpn | grep :80 | awk '{print $5}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n

Esto producirá un listado de las ips actualmente conectadas y el número de conexiones que tienen abiertas

Un alto número de conexiones pude significar un ataque o algo menos nocivo como un efecto digg, twiter o slashdot

No related posts.