Voici quelques commandes qui permettent d’avoir des informations sur l’occupation d’un serveur

Liste des processus, occupation du CPU, mémoires, processus zombies …

top

Renvoi toutes les connexions sur le port 80 http

netstat -an |grep ":80"

Renvoi le nombre de connexions sur le port 80 http

netstat -an |grep ":80" | wc -l

Renvoi les connexions de type SYN_RECV, si il y en a plusieurs dizaines, il peut d’agir d’une attaque

netstat -an | grep SYN_RECV

Renvoi le nombre de connexions de type SYN_RECV, si il y en a plusieurs dizaines, il peut d’agir d’une attaque

netstat -an | grep SYN_RECV |wc -l

Affichage pour simple des ip qui font des connexions Syn flood

for i in ` netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}` ; do echo $i; done 

et enfin un petit script qui bloque les ip en utilisant iptables qui font du syn flood

for i in ` netstat -tanpu | grep "SYN_RECV" | awk {'print $5'} | cut -f 1 -d ":" | sort | uniq -c | sort -n | awk {'if ($1 > 3) print $2'}` ; do echo $i; iptables -A INPUT -s $i/24 -j DROP; done 

Pour avoir la liste des règles inscrites dans iptables

 iptables -L

Pour remettre à zéro

iptables -F INPUT

Pour plus d’info : Contrer une attaque DDOS de type SYN flood sous Linux