有人可以为我提供规则来检测以下攻击:
hping3 -S -p 80 --flood --rand-source [target]
由于数据包来自随机来源,因此我遇到了规则问题。
我目前的规则是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
此规则只能从一个源 ip 中检测到。