web-dev-qa-db-ja.com

Syn Flood / DDOSのSnortルール?

誰かが私に次の攻撃を検出するためのルールを提供できますか?

hping3 -S -p 80 --flood --Rand-source [target]

パケットがランダムなソースから来ているので、ルールに問題があります。

私の現在のルールは:

alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

このルールは、1つのソースIPからのみ検出できます。

6
NoodleX

分散攻撃が心配な場合は、「 by_dst 」を使用して、「by_src」の代わりに宛先ごとに追跡します。

編集:

「by_dst」を使用した場合、通常のリクエストもこのルールでカウントされますが、これは当てはまりません。

...これが、snortがサーバーをアクティブに管理する代わりにならない理由です-DDoSは、Diggでネットワークレベルで人気があるように見えます(どちらの場合でも、サーバーが要求を処理できない場合にアラートが必要になります)作成されている接続の数に関するアラートよりも)。

この DDoS攻撃を検出する方法は? Webmaster Worldのスレッドは、snortの構成よりもDDoS攻撃の識別に重点を置いている場合に開始するのに適しています。

2
danlefree