Use " by_dst " para rastrear por destino em vez de "by_src" se você estiver preocupado com ataques distribuídos.
Editar:
if i used "by_dst" normal request will also be counted in this rule, which this should not be case.
... é por isso que o snort não é substituto para administrar ativamente seu servidor - um DDoS parece muito popular no Digg no nível da rede (em ambos os casos, você vai querer um alerta quando o servidor não puder solicitações de serviço, em vez de alertas sobre quantas conexões estão sendo feitas).
Este tópico Como detectar um ataque DDoS? no Webmaster World pode ser um lugar melhor para começar se você está mais focado em identificar ataques DDoS do que configurar o snort.