Flanker381

В обеих вариантах команды есть строка без ip адреса:

Подскажите, какие соединения относятся к ним?

TCP-соединение может быть только внешним? Скрипт Ddos-Deflate, описанный в этой статье 10serv.com/borba-s-ddos-atakoy-s-pomoshhyu-d-dos-d..., вообще не реагирует в момент резкого скачка нагрузки.
Опять же, это не "живой" трафик. Подобное случается даже по ночам, когда посетителей почти нет. Внешний пинг сервера запретил. В iptables ограничил количество TCP-соединений на 80 порт с одного ip до 15:
-A INPUT -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 10 --connlimit-mask 32 --connlimit-saddr -j REJECT --reject-with icmp-port-unreachable

В общем это нужно для анализа запросов. Соответственно сохраняю те, где результат уникален.
В принципе додумался как это сделать со статичным контентом. Просто берём допустим заголовки первых 10 записей, суммируем, делаем хэш (primary key не по id), и сохраняем вместе с запросом. При следующих запросах проверяем есть ли уже такой хэш в базе.
Но задача усложняется тем, что контент динамичен. Полный цикл обновления контента в базе - месяц. Сегодня мы сохранили один хэш, а завтра в результате этой выдачи одна новая запись и хэш уже другой, при том под вчерашним хэшем будет точно такой же результат -> опять дубль. UPDATE хэш-записи можно сделать при каждом новом идентичном запросе, но в таком случае есть окно между новым похожим запросом-дублем и обновлением старого запроса.
(Извините за заголовок, опечатка)