syn flood / ddos 的 Snort 規則？

有人可以為我提供檢測以下攻擊的規則：

hping3 -S -p 80 --flood --rand-source [target]

由於數據包來自隨機源，因此我遇到了規則問題。

我目前的規則是：

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

此規則只能從一個源 ip 檢測。

如果您擔心分佈式攻擊，請使用“ by_dst ”按目的地而不是“by_src”進行跟踪。

編輯：

如果我使用“by_dst”正常請求也將計入此規則，這不應該是這種情況。

…這就是為什麼 snort 不能替代主動管理您的伺服器的原因 - DDoS 看起來很像在網路級別的 Digg 上流行（無論哪種情況，當您的伺服器無法服務請求時，您都需要一個警報而不是而不是關於正在建立多少連接的警報）。

如何檢測 DDoS 攻擊？如果您更專注於辨識 DDoS 攻擊而不是配置 snort，那麼 Webmaster World 上的執行緒可能是一個更好的起點。

引用自：https://serverfault.com/questions/178437