یکی از بهترین روش های تشخیص حمله dos استفاده از دستور netstat می باشد. توسط این دستور می توانید از آمار ترافیک شبکه را دریافت کنید.
اگر فکر می کنید به سرور شما حمله dos شده است می توانید با دستورهای netstat حمله dos را تشخیص دهید. برای شروع به ssh سرور خود وصل شوید و سپس از دستورات زیر استفاده کنید
دستور زیر تعداد اتصال هر ip به سرور را لیست می کند اگر در این لیست یک آی پی یا چند آی پی اتصال زیادی داشتند آنها را در فایروال مسدود کنید.
netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort -n
دستور زیر مجموع آی پی های متصل به سرور را نمایش می دهد
netstat -nat | awk ‘{ print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ | uniq | wc -l
پس از پیدا کردن آی پی باید آن را در فایروال سرور مسدود کنید در لینک زیر آموزش مسدود کردن ip در فایروال csf نوشته شده است.