جهت جلوگیری از dDos Attack یکی از راه‌های مفید آن پیدا کردن آی‌پی سروری است که تعداد اتصالاتش (منظور همون Connection می‌باشد) به سرور از حالت عادی بیشتر باشد و پس از پیدا کردن آن را درون فایروال مسدود کنیم. برای این کار کافی است که از دستور زیر استفاده کنیم تا لیست IP‌های که به سرور متصل هستند را بیابیم:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

و با دستور زیر می‌توانیم تعداد اتصالات به سرور را مشخص کنیم:

netstat -n | grep :80 |wc -l

اگر تعداد اتصالات یک IP خاص بیش از حد معمول بود (بالای 150 الی 200) باید بدانید که تحت حمله دی‌داس هستید و باید بوسیله دستور اول آی‌پی مورد نظر را بیابید. معمولا آی‌پی غیر ایرانی است و میتوانید از سایت www.ip2location.com کشور آی‌پی‌ها را در بیاورید و آنهایی که مشکوک هستند را در فایروال خود بلاک کنید.

در صورتی‌که تعداد IP های حمله کننده زیاد بود و از کشورهای خاصی بود می‌توانید کل آن کشور را بلاک کنید که در سایر آموزش‌ها نحوه اینکار بیان شده است. همچنین اگر تعداد کشورها نیز زیاد بود می‌توانید فقط کشور ایران و مثلا آمریکا را در لیست سفید فایروال قرار دهید که فقط این کشورها به سرور دسترسی داشته باشند و سایر کشورها قادر به دسترسی نباشند تا اینکه حملات قطع شود و شما مجددا تنظیمات را به حالت قبل برگردانید.