yum -y install epel-release
yum -y install tcpdump

tcpdump -s0 -A -n -i any | grep -o -E ‘(GET|POST|HEAD) .*’
如果是被攻击，会出现大量固定的地址，比如攻击的是首页，会有大量的“GET / HTTP/1.1”

tcpdump -s0 -A -n -i any | grep ^User-Agent
正常的结果中，是各种各样的useragent。
大多数攻击使用的是固定的useragent，也就是会看到同一个useragent在刷屏

tcpdump -s0 -A -n -i any | grep ^Host
如果机器上的网站太多，可以用上面的命令找出是哪个网站在被大量请求