tcpdump分析syn flood泛洪

#!/bin/bash

#  10000个syn，来源按B统计，只看前10个B
tcpdump -nn -i em1 \(tcp[tcpflags] = tcp-syn\) -c 10000 2>/dev/null | awk '{print $3}' | awk -F \. '{print $1"."$2}' | sort -n | uniq -c | sort -nr | head | while read COUNT IP_B
do
    echo -en "-------- 最近10000个包中 $IP_B.0.0/16 出现 $COUNT 次 -------\n"
    tcpdump -nn -i em1 \(tcp[tcpflags] = tcp-syn\) -c 10000 2>/dev/null | awk '{print $3}' | awk -F \. '{print $1"."$2"."$3}' | sort -n | uniq -c | sort -nr | grep $IP_B
done


exit
#  下面是命令备份，不参与脚本执行
tcpdump -nn -i em1 \(tcp[tcpflags] = tcp-syn\) -c 10000 2>/dev/null | awk '{print $3}' | awk -F \. '{print $1"."$2}' | sort -n | uniq -c | sort -nr | head
tcpdump -nn -i em1 \(tcp[tcpflags] = tcp-syn\) -c 10000 2>/dev/null | awk '{print $3}' | awk -F \. '{print $1"."$2"."$3}' | sort -n | uniq -c | sort -nr | grep 154.203

-------- 最近10000个包中 156.240.0.0/16 出现 2116 次 -------
    148 156.240.42
    147 156.240.47
    147 156.240.38
    142 156.240.39
    142 156.240.34
    141 156.240.33
    139 156.240.36
    137 156.240.45
    135 156.240.37
    134 156.240.46
    134 156.240.43
    131 156.240.35
    131 156.240.32
    130 156.240.41
    128 156.240.40
    119 156.240.44
-------- 最近10000个包中 169.129.0.0/16 出现 1964 次 -------
    136 169.129.220
    133 169.129.223
    132 169.129.221
    126 169.129.222
     54 169.129.205
     50 169.129.226
     49 169.129.227
     48 169.129.230
     48 169.129.208
     47 169.129.225
     47 169.129.202
     46 169.129.206
     46 169.129.199
     45 169.129.200
     43 169.129.209
     43 169.129.201
     42 169.129.195
     41 169.129.229
     40 169.129.214
     40 169.129.210
     40 169.129.198
     39 169.129.215
     39 169.129.207
     39 169.129.196
     38 169.129.217
     37 169.129.219
     36 169.129.204
     35 169.129.228
     35 169.129.218
     35 169.129.193
     35 169.129.192
     34 169.129.224
     33 169.129.213
     32 169.129.216
     31 169.129.197
     30 169.129.212
     30 169.129.194
     29 169.129.203
     26 169.129.231
     26 169.129.211
-------- 最近10000个包中 109.248.0.0/16 出现 1590 次 -------
    160 109.248.21
    140 109.248.26
    139 109.248.27
    139 109.248.24
    139 109.248.17
    135 109.248.19
    133 109.248.22
    132 109.248.16
    131 109.248.25
    131 109.248.23
    130 109.248.18
    120 109.248.20
-------- 最近10000个包中 103.143.0.0/16 出现 404 次 -------
    254 103.143.14
    149 103.143.15
-------- 最近10000个包中 10.64.0.0/16 出现 316 次 -------
    352 10.64.19
      8 10.64.82
-------- 最近10000个包中 101.36.0.0/16 出现 311 次 -------
    118 101.36.221
     76 101.36.151
     33 101.36.150
     17 101.36.179
     16 101.36.172
     11 101.36.153
      7 101.36.174
      2 101.36.181
      2 101.36.177
      2 101.36.173
      1 101.36.180
      1 101.36.175
-------- 最近10000个包中 45.201.0.0/16 出现 295 次 -------
    147 45.201.214
    128 45.201.215
-------- 最近10000个包中 156.242.0.0/16 出现 272 次 -------
    156 156.242.10
    150 156.242.11
-------- 最近10000个包中 156.246.0.0/16 出现 269 次 -------
    150 156.246.16
    123 156.246.17
-------- 最近10000个包中 154.215.0.0/16 出现 162 次 -------
    125 154.215.0