# visualizza tutte le connessioni che comprendano l'host prtg.goline.ch
tcpdump -i ens160 host prtg.goline.ch
# visualizza tutti i pacchetti syn in ingresso
tcpdump -i ens160 -n tcp[tcpflags] == tcp-syn
# visualizza tutti i pacchetti provenienti da uno specifico host come sorgente (src)
tcpdump -i ens160 src host prtg.goline.ch
# visualizza tutti i pacchetti destinati a uno specifico host come sorgente (dst)
tcpdump -i ens160 dst host prtg.goline.ch
# determina se ci sia in corso un SYN flood
netstat -npt | awk '{print $6}' | sort | uniq -c | sort -nr | head
# visualizza il conteggio delle connessioni TCP ordinate per indirizzo IP
netstat -npt | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# visualizza il conto delle connessioni TCP ordinate per indirizzo IP su una specifica porta (MOLTO FIGO!) – Specificare la porta, tipo 443
netstat -npt | grep <port> | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# visualizza il conteggio delle connessioni e le ordina per indirizzo IP
netstat -npt | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# visualizza il conteggio di tutte le connessioni TCP "ESTABLISHED" di una specifica porta ordinandole per IP
netstat -npt | grep <port> | grep ESTABLISHED | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# visualizza il conteggio di tutte le connessioni TCP "ESTABLISHED" di ordinandole per IP
netstat -npt | grep ESTABLISHED | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
# determina se l'attacco SYN è da un singolo IP (DOS attack) o da molteplici IP (DDOS attack)
netstat -npt | grep SYN_RECV | awk '{print $5}' | grep -Eo '([0-9]{1,3}.){3}[0-9]{1,3}' | cut -d: -f1 | sort | uniq -c | sort -nr | head