Может ли кто-нибудь предоставить мне правила для обнаружения следующей атаки:
hping3 -S -p 80 --flood --rand-source [target]
У меня проблема с правилами, так как пакет исходит из случайного источника.
Мои текущие правила:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
эти правила могут обнаруживать только из одного IP-адреса источника.
Используйте "by_dst"для отслеживания по пункту назначения вместо" by_src ", если вас беспокоят распределенные атаки.
Редактировать:
если я использовал "by_dst", то нормальный запрос также будет учитываться в этом правиле, чего не должно быть.
... вот почему snort не заменяет активного администрирования вашего сервера - DDoS очень похоже на популярность на Digg на сетевом уровне (в любом случае вам понадобится предупреждение, когда ваш сервер не может обслуживать запросы, а чем предупреждения о том, сколько подключений выполняется).
это Как обнаружить DDoS-атаку? Тема на Webmaster World может быть лучшим местом для начала, если вы больше сосредоточены на выявлении DDoS-атак, чем на настройке snort.