Estoy intentando implementar una alerta de ataque de inundación simple usando esta regla:
alert tcp any any <> any any (msg:"Flooding attack!";detection_filter:track by_dst, count 4, seconds 1; sid:1000036)
Incluso si tengo un tráfico de 10 Pkts / s (calculado por Snort) que van todos al mismo destino y no se activan.
/var/snort/log/alert
está vacío.
Los rastreos de paquetes en el cuadro de resumen muestran que se están viendo todos los paquetes.
Snort version 2.9.9.0
¿Qué estoy haciendo mal?