Os indícios mais comuns de que seu servidor esta sobre um ataque DDoS é o aumento repentino na atividade do processador e a lentidão que o mesmo irá apresentar em função desse aumento do processamento.

Uma forma prática, rápida e fácil de verificar um possível ataque DDoS é utilizar um conjunto de ferramentas que incluem: netstat, grep, awk e uniq.

A linha abaixo nos retorna uma lista dos IP’s que estão conectados ao servidor como também o número de conexões que cada um dos IP’s esta abrindo.

# netstat -an | grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n

ou

# netstat -alpn | grep :80 | awk ‘{print $5}’ |awk -F: ‘{print $(NF-1)}’ |sort | uniq -c | sort –n

Um grande número de conexões pode significar um ataque.