Ce script nécessite la commande tcpkill, fournie dans le paquet dsniff

#!/bin/sh

while (true) 
do 
  killable=`netstat -ant4 | grep ESTABLISHED | \
            awk '{print $5}' | cut -d ':' -f 1 | \
            awk '{a[$1]++}END{for(i in a){if (a[i]>59) {print i}}}' `

  for f in $killable
  do
    echo "tcpkill launched" | mail -s "Dos Kill $f" admin@localhost.localdomain
    tcpkill -i eth0 "host $f" &
  done 
  pgrep tcpkill 2>&1 > /dev/null && (sleep 2 ; killall tcpkill)
  sleep 2
done

ce script vérifie toutes les deux secondes, les ip vers qui il y'a plus de 59 connections ouvertes, et lance un tcpkill pour les ip concernées.