Regras do Snort para syn flood / ddos? [duplicado]

4

Alguém pode me fornecer regras para detectar o seguinte ataque:

hping3 -S -p 80 --flood --rand-source [target]

Estou tendo problemas com regras, já que o pacote vem de uma fonte aleatória.

Minhas regras atuais são:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

esta regra só pode detectar de um único IP de origem.

    
por Adelave 06.09.2010 / 12:56

1 resposta

1

Use " by_dst " para rastrear por destino em vez de "by_src" se você estiver preocupado com ataques distribuídos.

Editar:

if i used "by_dst" normal request will also be counted in this rule, which this should not be case.

... é por isso que o snort não é substituto para administrar ativamente seu servidor - um DDoS parece muito popular no Digg no nível da rede (em ambos os casos, você vai querer um alerta quando o servidor não puder solicitações de serviço, em vez de alertas sobre quantas conexões estão sendo feitas).

Este tópico Como detectar um ataque DDoS? no Webmaster World pode ser um lugar melhor para começar se você está mais focado em identificar ataques DDoS do que configurar o snort.

    
por 06.09.2010 / 13:17

Tags