Ddos
syn flood / ddos 的 Snort 規則?
有人可以為我提供檢測以下攻擊的規則:
hping3 -S -p 80 --flood --rand-source [target]
由於數據包來自隨機源,因此我遇到了規則問題。
我目前的規則是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
此規則只能從一個源 ip 檢測。
如果您擔心分佈式攻擊,請使用“ by_dst ”按目的地而不是“by_src”進行跟踪。
編輯:
如果我使用“by_dst”正常請求也將計入此規則,這不應該是這種情況。
…這就是為什麼 snort 不能替代主動管理您的伺服器的原因 - DDoS 看起來很像在網路級別的 Digg 上流行(無論哪種情況,當您的伺服器無法服務請求時,您都需要一個警報而不是而不是關於正在建立多少連接的警報)。
如何檢測 DDoS 攻擊?如果您更專注於辨識 DDoS 攻擊而不是配置 snort,那麼 Webmaster World 上的執行緒可能是一個更好的起點。