有人可以提供我的规则来检测以下攻击:
hping3 -S -p 80 --flood --rand-source [target] 因为数据包来自随机源,所以我遇到了规则问题。
我目前的规则是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
这个规则只能从一个源ip检测。
如果您担心分布式攻击,请使用“ by_dst ”按目标而不是“ by_src ”进行跟踪。
编辑:
如果我使用“by_dst”,正常的请求也将被计入这个规则中,这不应该是这种情况。
…这就是为什么snort不能代替主动pipe理你的服务器的原因–DDoS看起来就像在networking层面上在Digg上stream行的一样(无论哪种情况,当你的服务器无法服务请求时,你会想要一个警报比发出多less连接的警报)。
如何检测DDoS攻击? 如果你更专注于识别DDoS攻击,而不是configurationsnort,那么在网站pipe理员世界的线程可能是一个更好的开始。