Проверьте, имеют ли пакеты отличительный признак, например, при этом все - тот же размер.
Обычно с лавинными рассылками SYN в виде сценария, они отсылают "пустой" пакет только с заголовком и никакой полезной нагрузкой. Это заканчивает тем, что было 40-байтовым пакетом (если я помню право).
Если это так, можно просто разделить все те, которые имеют iptables, так как никакие "нормальные" пакеты не похожи на это.
О, и подготовьтесь к лавинной рассылке бесполезного совета от людей, которые действительно не понимают, как на самом деле работают SYN-лавинные-рассылки.
Существует много разных подходов. Сначала можно попытаться монтировать различный/dev/sd* устройства и посмотреть на их содержание.
При использовании LVM объемы должны появиться в/dev/vgname/lvname, какой/dev/sd* устройства они подходят как. То же для программного обеспечения совершает рейд на устройства (MD).
Если Ваши диски имеют маркировки, существует, вероятно, карта в/dev/disk/by-label.
Если Вы сохраняете свой fstab UUID (не плохая идея), существует карта в/dev/disk/by-uuid/.
Посмотрите на символьные ссылки в /dev/disk/by-id
.
Я использую команду: df-a
Это показывает название каждого устройства/dev/sd* и где ее смонтированный, это также дает некоторую статистику использования файловой системы.
Также Вы могли посмотреть на содержание/etc/fstab, но если Ваши устройства не отобразятся, как обычно, то, возможно, этот файл не будет корректен.