Olá pessoal,

Abaixo um comando bem útil para ajudar identificar quando um servidor está sofrendo um ataque DDOS.
Utilizamos o netstat e filtramos a saída, contando quantas vezes ocorre a repetição de um determinado IP.

netstat -an | grep :80 | awk ‘{ print $5 }’ | awk -F: ‘{ print $1 }’ | sort | uniq -c | sort -n

Acima o comando busca por conexões na porta 80 (apache). É possível fazer variações para porta 110 (POP3), 25 (SMTP), etc.

Um exemplo do retorno do comando:
1 189.11.86.52
1 189.12.128.106
1 189.13.118.121
1 189.34.192.23
1 200.171.30.244
1 200.223.3.222
1 201.42.81.165
1 201.50.225.67
2 189.13.53.29
2 189.19.21.33
2 189.47.244.77
2 189.47.25.91
2 201.50.82.14
3 189.26.6.198
3 189.71.40.199
3 200.169.127.134
3 201.50.128.11
3 201.68.83.222
5 189.13.136.149
5 201.12.48.140
5 201.23.198.121
6 201.50.200.66
8 201.21.19.105
9 189.40.97.213
17 201.82.116.205
22 201.82.217.20
23 200.181.30.44
25 201.50.97.152
26 189.13.245.6

Abraços!