Правила фырканья для сингла флуд / ддос

Question

Правила фырканья для сингла флуд / ддос

Может ли кто-нибудь предоставить мне правила для обнаружения следующей атаки:

hping3 -S -p 80 --flood --rand-source [target]

У меня проблема с правилами, так как пакет приходит из случайного источника.

Мои текущие правила:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

только эти правила могут обнаруживать только из одного исходного IP-адреса.

6

ddos snort

Источник

Adelave 06 сен '10 в 10:56

1 ответ

Решение

Другие вопросы по тегам ddos snort

danlefree 06 сен '10 в 11:17 2010-09-06 11:17 · Accepted Answer · 2010-09-06 11:17

Используйте " by_dst" для отслеживания по месту назначения вместо "by_src", если вы беспокоитесь о распределенных атаках.

Редактировать:

если я использовал "by_dst", то в этом правиле будет учитываться и обычный запрос, что не должно быть.

... именно поэтому snort не заменит активного администрирования вашего сервера - DDoS выглядит очень похоже на популярность в Digg на сетевом уровне (в любом случае вы захотите получить предупреждение, когда ваш сервер не может обслуживать запросы, а чем оповещения о том, сколько соединений сделано).

Это Как обнаружить DDoS-атаку? Поток в Webmaster World может быть лучше начать, если вы больше сосредоточены на выявлении DDoS-атак, чем на настройке snort.