Snort detection_filter not alerting

Naviga le tue risposte
5

Sto tentando di implementare un semplice avviso di attacco di inondazione utilizzando questa regola:

alert tcp any any <> any any (msg:"Flooding attack!";detection_filter:track by_dst, count 4, seconds 1; sid:1000036)

Anche se ho traffico 10 Pkts / sec (calcolato da Snort), tutti vanno alla stessa destinazione e non fa allarme.

/var/snort/log/alert è vuoto.

Le tracce di pacchetti nella casella snort mostrano che tutti i pacchetti vengono visualizzati.

Snort version 2.9.9.0

Che cosa sto sbagliando?

    
posta AlexP 18.01.2017 - 13:10
fonte

1 risposta

3

Nel mio caso, io uso questa regola di avviso di lavoro per SYN Floods.

alert tcp any any -> 192.168.1.3 any (msg:"TCP SYN Flooding attack detected"; flags:S; threshold: type threshold, track by_dst, count 10 , seconds 30; sid: 5000001; rev:1;)

Dove:

  • La parola chiave "soglia" indica che questa regola registra ogni evento su questo SID durante un intervallo di 30 secondi. Quindi, se si verificano meno di 10 eventi in 30 secondi, non viene registrato nulla. Una volta registrato un evento, inizia un nuovo periodo di tempo.
  • La parola chiave "track" by_dst indica la traccia per destinazione IP.
  • La parola chiave "contare" significa contare il numero di eventi.
  • La parola chiave "secondi" indica il periodo di tempo durante il quale viene accumulato il conteggio.
  • La parola chiave "sid" viene utilizzata per identificare in modo univoco le regole Snort. Questa informazione consente ai plugin di output di identificare facilmente le regole. Questa opzione deve essere utilizzata con la parola chiave "rev".
    • sid < 100 Riservato per uso futuro
    • 100 < sid < 999.999 Regole incluse con la distribuzione Snort
    • sid > 1.000.000 Utilizzato per le regole locali

Ulteriori informazioni qui e here .

    
risposta data 10.08.2017 - 21:28
fonte

Leggi altre domande sui tag

Tutte le deboli chiavi di DSA di Debian openssl Svantaggi del controllo degli accessi basato sui ruoli