วิธีตรวจสอบว่า SERVER โดนยิงด้วย NETSTAT

Netstat เป็นคำสั่งพื้นฐานของวินโดว์ที่ใช้แสดงการเชื่อมต่อจากที่ต่างๆออกมาทั้งหมด ออกมาไม่ว่าจะมาจากโปรโตคอล TCP, UDP, ICMP และอื่นๆ รวมไปถึงหมายเลขพอร์ตและ IP ของผู้ติดต่อ ออกมาให้เราดูเพื่อใช้ในการวิเคราะห์และตรวจสอบการเชื่อมต่อของเครื่องแม่ ข่าย

netstat -ntu | grep SYN_RECV | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

เป็นการแสดงว่า ณ เวลาๆ นั้นๆ มีผู้ sync เชื่อมต่อ Server เท่าไหร่ ซึ่งไม่ควรเกิน 10

netstat -ntu | grep ESTABLISHED | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr

คำสั่งนี้จะแสดงว่า ณ เวลานั้นๆ มีผู้เชื่อมต่อกับ Server กี่ครั้งต่อ หนึ่ง IP ซึ่งไม่ควรเกิน 20

*หากมีค่าเกินกำหนด สามารถทำการ block ได้

Credit : https://my.thaidatahosting.com/knowledgebase/36/-SERVER–NETSTAT.html