有人可以为我提供规则来检测以下攻击:
hping3 -S -p 80 --flood --rand-source [target]
由于数据包来自随机来源,因此我遇到了规则问题。
我目前的规则是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
此规则只能从一个源 ip 中检测到。
如果您担心分布式攻击,请使用“ by_dst ”按目的地而不是“by_src”进行跟踪。
编辑:
如果我使用“by_dst”,正常请求也将计入此规则,但不应出现这种情况。
...这就是为什么 snort 无法替代主动管理服务器的原因 - DDoS 看起来很像在网络级别的 Digg 上流行(无论哪种情况,当您的服务器无法处理请求时,您都需要收到警报,而不是而不是关于正在建立的连接数量的警报)。
如何检测 DDoS 攻击?如果您更专注于识别 DDoS 攻击而不是配置 Snort,那么网站管理员世界的主题可能是一个更好的起点。