Questa domanda riguarda SNORT - Sto fondamentalmente cercando di rilevare attacco PING FLOOD. Ho incluso il regola ** (drop icmp any - > any any (itype: 8; threshold, track by_src, count 20, seconds; msg: "Ping flood attack rilevato"; sid: 100121)) ** per quello nel file ddos.rule di snort.
Attaccare usando il comando hping3 -1 --fast .
Le statistiche ping nella macchina attaccante dicono: 100% perdita di pacchetti. tuttavia le statistiche di azione Snort mostrano i verdetti come: Block - > 0.
Perché sta succedendo questo?