Syn Flood / DDOSのSnortルール？

Question

誰かが私に次の攻撃を検出するためのルールを提供できますか？

hping3 -S -p 80 --flood --Rand-source [target]

パケットがランダムなソースから来ているので、ルールに問題があります。

私の現在のルールは：

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

このルールは、1つのソースIPからのみ検出できます。

danlefree · Accepted Answer

分散攻撃が心配な場合は、「 by_dst 」を使用して、「by_src」の代わりに宛先ごとに追跡します。

編集：

「by_dst」を使用した場合、通常のリクエストもこのルールでカウントされますが、これは当てはまりません。

...これが、snortがサーバーをアクティブに管理する代わりにならない理由です-DDoSは、Diggでネットワークレベルで人気があるように見えます（どちらの場合でも、サーバーが要求を処理できない場合にアラートが必要になります）作成されている接続の数に関するアラートよりも）。

この DDoS攻撃を検出する方法は？ Webmaster Worldのスレッドは、snortの構成よりもDDoS攻撃の識別に重点を置いている場合に開始するのに適しています。