Sto eseguendo un test su alcuni attacchi DoS e su come rilevarli. Attualmente sto testando lo strumento slowloris, ma tutte le firme che ho visto online, come pochissime sono, non funzionano anche dopo aver modificato alcuni parametri. Qualcuno può indicarmi un sito o un esempio della regola di rilevamento dello snort per rilevare gli attacchi slowloris.
slowloris non completa l'intestazione della richiesta web.
pcre:!"/\x0D\x0A\x0D\x0A$/H"; rileva la richiesta web che non termina con 0D0A0D0A
Oppure puoi anche utilizzare /D che corrisponde a richiesta HTTP non normalizzata o intestazione di risposta HTTP.
Ma non sono sicuro che funzionerebbe. :) In effetti, penso che sia meglio monitorare le variazioni nel volume della sessione rispetto alla corrispondenza del modello, se si desidera rilevare come slowloris.
Leggi altre domande sui tag denial-of-service ids snort