Dove posso trovare una firma snort per rilevare l'attacco DoS slowhttp dallo strumento Slowloris [duplicato]

2

Sto eseguendo un test su alcuni attacchi DoS e su come rilevarli. Attualmente sto testando lo strumento slowloris, ma tutte le firme che ho visto online, come pochissime sono, non funzionano anche dopo aver modificato alcuni parametri. Qualcuno può indicarmi un sito o un esempio della regola di rilevamento dello snort per rilevare gli attacchi slowloris.

    
posta obiigbe91 09.04.2017 - 00:42
fonte

1 risposta

0

slowloris non completa l'intestazione della richiesta web.

pcre:!"/\x0D\x0A\x0D\x0A$/H"; rileva la richiesta web che non termina con 0D0A0D0A

Oppure puoi anche utilizzare /D che corrisponde a richiesta HTTP non normalizzata o intestazione di risposta HTTP.

Ma non sono sicuro che funzionerebbe. :) In effetti, penso che sia meglio monitorare le variazioni nel volume della sessione rispetto alla corrispondenza del modello, se si desidera rilevare come slowloris.

    
risposta data 09.04.2017 - 07:09
fonte

Leggi altre domande sui tag