En la actualidad existen muchos tipos de ataques de denegación de servicio, lamentablemente estos ataques son cada vez mas comunes.

Existen métodos para buscar indicios de que nuestro server esta siendo atacado por DDoS, ellos analizan las actuales conexiones que posee el server buscando identificar las ips que tienen mas conexiones.

Utilizando Netstat:

Netstat es un comando shell de linux (también existe en windows y otros sistemas) con el cual podremos observar las conexiones actuales que tienen nuestro sistema.

A continuación diferentes modos de uso del comando netstat para identificar ataques DDoS.

netstat -na

Muestra el listado completo de todas las conexiones abiertas en el server. En un servidor web con mucho trafico puede ser imposible procesar la información a simple vista.

netstat -an | grep :80 | sort

Muestra solo las conexiones abiertas en el puerto 80.

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Con esto obtendremos un listado con dos columnas, en la columna 1 se mostraran el numero de conexiones abiertas que posee la ip que figura en la columna 2. Algo muy valioso para identificar ataques, aunque no siempre los ataques provienen de pocas ips, si el ataque es muy grande es probable que no podamos identificar las ips.