syn flood / ddos​​的Snort规则?

参见英文答案 > I am under DDoS. What can I do?                                    4个
有人可以为我提供检测以下攻击的规则:

hping3 -S -p 80 --flood --rand-source [target]

我有规则问题,因为数据包来自随机源.

我目前的规则是:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

此规则只能从一个源ip检测到.

如果您担心分布式攻击,请使用“ by_dst”按目的地跟踪而不是“by_src”.

编辑:

if i used “by_dst” normal request will
also be counted in this rule, which
this should not be case.

…这就是为什么snort不能替代主动管理你的服务器 – 一个DDoS看起来很像在网络级别的Digg上流行(在任何一种情况下,当你的服务器无法为服务请求服务时你会想要一个警报而不是关于正在建立多少连接的警报).

如果您更专注于识别DDoS攻击而不是配置snort,那么Webmaster World上的这个How to detect a DDoS attack?线程可能是一个更好的起点.

相关文章
相关标签/搜索