有人可以提供一些规则来检测以下攻击吗:
hping3 -S -p 80 --flood --rand-source [target]
由于数据包来自随机来源,因此我遇到了规则问题。
我当前的规则是:
alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)
此规则只能从一个源 IP 进行检测。
答案1
使用 ”按_dst如果您担心分布式攻击,请使用“按目的地而不是“by_src”进行跟踪。
编辑:
如果我使用“by_dst”,正常请求也将被计入此规则,但事实不应该如此。
... 这就是为什么 snort 不能替代主动管理您的服务器的原因 - DDoS 看起来很像在网络级别上在 Digg 上流行(无论哪种情况,当您的服务器无法提供请求服务时,您都希望收到警报,而不是在建立了多少个连接时收到警报)。
这如何检测 DDoS 攻击?如果您更注重识别 DDoS 攻击而不是配置 snort,那么 Webmaster World 上的主题可能是更好的起点。