È persino possibile specificare in una regola di snort la durata di una connessione?
Ad esempio: in questo formato Ora, Minuto, Secondo
H, M, S = 0, 2, 1
Se una connessione ha la durata di 2 minuti e 1 secondo, quindi avvisare.
O in questo senso:
Se una connessione è più lunga di 10 secondi, quindi avvisare.
Come implementiamo l'idea?
Risposta breve: no.
Risposta più lunga: se hai braciole di codifica, devi fondamentalmente aggiungere una nuova parola chiave di rilevamento che agisca quasi esattamente come la parola chiave a soglia, tranne che avvisa di eventuali pacchetti dopo s secondi, piuttosto che di pacchetti in secondi. Ciò potrebbe essere allettante se stai già costruendo i tuoi sensori dall'origine nella tua infrastruttura. Non così difficile - un certo numero di anni fa, ho montato una build per un cliente che avrebbe resettato attivamente gli attacchi brute force da un dato IP una volta raggiunto il conteggio in secondi.
Leggi altre domande sui tag network attack-prevention ids timing-attack snort