tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'
tcpdump -s0 -A -n -i any | grep ^User-Agent
#显示所有连接到服务器的活跃的网络连接
netstat -na
#只显示连接到80段口的活跃的网络连接,80是http端口,这对于web服务器非常有用,并且对结果排序.对于你从许多的连接中找出单个发动洪水攻击IP非常有用
netstat -an | grep :80 | sort
#这个命令对于在服务器上找出活跃的SYNC_REC非常有用,数量应该很低,最好少于5.在dos攻击和邮件炸弹,这个数字可能非常高.然而值通常依赖于系统,所以高的值可能平分给另外的服务器.
netstat -n -p|grep SYN_REC | wc -l
#列出所有包含的IP地址而不仅仅是计数.
netstat -n -p | grep SYN_REC | sort -u
#列出所有不同的IP地址节点发送SYN_REC的连接状态
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}'
#使用netstat命令来计算每个IP地址对服务器的连接数量
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
#列出使用tcp和udp连接到服务器的数目
netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
#检查ESTABLISHED连接而不是所有连接,这可以每个ip的连接数
