https://www.r10.net/site-guvenligi-sa...ullanilir.html

netstat -a komutuyla bağlantı açan ip adreslerini görebilirsin zaten bu komutu verdiğinde aynı ipten üst üste açılmış çokca bağlantı varsa saldırı ihtimali yüksektir




Bu komutla 80 Portuna Syn açan ipleri bağlantı sayısıyla görebilirsiniz

Alıntı
netstat -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n | uniq -c | sort -n
Bunu yapmak yerine inetbase tarzı yazılımlar kurarak ortalama bir max connection değeri belirleyerek saldırı yapan iplerin otomatik olarak uzaklaştırılmasını sağlayabilirsin