hping3 -S -p 80 --flood --rand-source [target]
我有规则问题,因为数据包来自随机源.
我目前的规则是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
此规则只能从一个源ip检测到.
编辑:
if i used “by_dst” normal request will
also be counted in this rule, which
this should not be case.
…这就是为什么snort不能替代主动管理你的服务器 – 一个DDoS看起来很像在网络级别的Digg上流行(在任何一种情况下,当你的服务器无法为服务请求服务时你会想要一个警报而不是关于正在建立多少连接的警报).
如果您更专注于识别DDoS攻击而不是配置snort,那么Webmaster World上的这个How to detect a DDoS attack?线程可能是一个更好的起点.