web-dev-qa-db-ja.com

Snort / IDSはDoS / DDoS攻撃の可能性を検出して警告しますか?

タイトルどおり、着信するサービス拒否攻撃を検出して警告するようにSnortを構成しようとしています。

主に署名ベースのルールであるルールセットを見ると、SYN ACKパケットのフラッドを探す論理的な方法がわかりませんか?

私は次のリンクからいくつかの例を見ましたが、それらは主にアノマレーベースの例のようです( IDS /ファイアウォールでDoS攻撃を検出するためのアプローチは何ですか? )-あるかどうか疑問に思っていますそのような攻撃を検出するために利用可能なルール。

ありがとう!

3
Xaphia

ModsecurityのようなWebアプリケーションレイヤーファイアウォールとsnortルールセットのようなアプリケーションレイヤーフィルターは、一般に署名ベースのルールです。これらのルールセットは非常に包括的であり、XSS、SQLインジェクションなどのアプリケーション層攻撃のほとんどをカバーしています。これらのファイアウォールは、セッションおよびユーザーレベルのカウンターを介してDoSから保護するためのサポートを備えていますが、多くのコンピューティングを必要とするため、これは一般的に推奨されません。

アプリケーションレイヤーのDosに対する緩和戦略を理解するには、Apacheモジュール Mod_Evasive を探索できます。ブラックリストIPからのDoSから保護するために設定する5つのディレクティブがあります。

  1. DOSPageInterval:同じIPからのページへの2つの要求間のアクセス可能な最小間隔を設定します。
  2. DOSSiteInterval:同じIPからサイトへの2つの要求間のアクセス可能な最小間隔を設定します。
  3. DOSPageCount:同じページへのリクエストが短すぎる場合の制限を設定します
  4. DOSSiteCount:同じサイトへのリクエストが短すぎる場合の制限を設定します。
  5. DOSBlockingPeriod:不良IPをブロックする時間。
2
Ali Ahmad