Ho un file pcap catturato da un PC utente. Devo analizzare se ha inizializzato un attacco DOS su qualsiasi server.
alert tcp any any -> any 8080 (msg:"DOS flood denial of service attempt"; flow:to_server; detection_filter:track by_dst, count 1000, seconds 60; sid:25101; rev:1;)
Questo darà qualsiasi attacco in arrivo. Come si scrive una regola SNORT per rilevare gli attacchi in uscita?
Grazie in anticipo.