Revisión de procesos y conexiones
Comprobar la carga del servidor
uptimeEl comando muestra la hora actual, el tiempo en línea del servidr y la carga promedio en 1, 5 y 15 minustos. En este caso, un promedio de carga superior a 7 podría ser un problema.
grep processor /proc/cpuinfo | wc -lUna referencia útil para la carga aceptable del servidor es el número de subprocesos disponibles. Una carga igual o superior al número de subprocesos puede indicar una actividad sospechosamente alta.
Durante un ataque DDoS, podrías ver una carga que duplica, triplica o incluso supera la carga máxima.
netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -rDado que la mayoría de los ataques DDoS requieren conexiones al servidor, se puede comprobar cuántas y cuáles direcciones IP se conectan simultáneamente. Esto se puede determinar con netstat, un comando que proporciona todo tipo de detalles. Sin embargo, en este caso, solo nos interesan las IP específicas que se conectan, el número de IP y posiblemente, las subredes a las que pertenecen.