Скрипт для проверки DDoS-атак на сервере

Увидел недавно статью на Хабре - 3 скрипта для диагностики Вашего Linux-сервера , вспомнил, что у каждого админа есть припасенный самописный скрипт, в данном случае для мониторинга DDOS-атаки. Он анализирует количество соединений с IP-адресов и уведомляет о подозрительной активности:

#!/bin/bash

# Пороговые значения (настройте под свои нужды)
CONN_THRESHOLD=50    # Максимум соединений с одного IP
TOP_IPS=10           # Количество IP для показа в отчете

echo "=== Проверка сетевой активности ==="

# Анализ количества соединений по IP
echo "Топ-$TOP_IPS IP-адресов по числу соединений:"
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head -n $TOP_IPS | while read count ip; do
    if [ "$count" -gt "$CONN_THRESHOLD" ]; then
        echo "ВНИМАНИЕ: $ip -> $count соединений"
    else
        echo "Нормально: $ip -> $count соединений"
    fi
done

# Дополнительная проверка обшего числа соединений
TOTAL_CONNECTIONS=$(netstat -ntu | wc -l)
echo "Общее число соединений: $TOTAL_CONNECTIONS"

# Проверка использования сети (требуется iftop)
if command -v iftop &> /dev/null; then
    echo "=== Проверка трафика ==="
    iftop -t -s 5
else
    echo "Для проверки трафика установите iftop: sudo apt install iftop"
fi

Что скрипт проверяет: 1. Количество соединений с каждого IP-адреса 2. Общее число соединений 3. График использования сети (если установлен iftop)