Snort detection_filter no alerta

5

Estoy intentando implementar una alerta de ataque de inundación simple usando esta regla:

alert tcp any any <> any any (msg:"Flooding attack!";detection_filter:track by_dst, count 4, seconds 1; sid:1000036)

Incluso si tengo un tráfico de 10 Pkts / s (calculado por Snort) que van todos al mismo destino y no se activan.

/var/snort/log/alert está vacío.

Los rastreos de paquetes en el cuadro de resumen muestran que se están viendo todos los paquetes.

Snort version 2.9.9.0

¿Qué estoy haciendo mal?

    
pregunta AlexP 18.01.2017 - 13:10
fuente

1 respuesta

3

En mi caso, utilizo esta regla de alerta de trabajo para las inundaciones SYN.

alert tcp any any -> 192.168.1.3 any (msg:"TCP SYN Flooding attack detected"; flags:S; threshold: type threshold, track by_dst, count 10 , seconds 30; sid: 5000001; rev:1;)

Donde:

  • La palabra clave "umbral" significa que esta regla registra todos los eventos en este SID durante un intervalo de 30 segundos. Por lo tanto, si se producen menos de 10 eventos en 30 segundos, no se registra nada. Una vez que se registra un evento, comienza un nuevo período de tiempo.
  • La palabra clave "track" by_dst significa track by IP de destino.
  • La palabra clave "contar" significa contar el número de eventos.
  • La palabra clave "segundos" significa período de tiempo durante el cual se acumula el conteo.
  • La palabra clave "sid" se usa para identificar de forma única las reglas de Snort. Esta información permite que los complementos de salida identifiquen las reglas fácilmente. Esta opción se debe utilizar con la palabra clave "rev".
    • sid < 100 Reservado para uso futuro
    • 100 < sid < 999,999 Reglas incluidas con la distribución de Snort
    • sid > 1,000,000 Usado para reglas locales

Hay más información aquí y aquí .

    
respondido por el Olcay Özkaya 10.08.2017 - 21:28
fuente

Lea otras preguntas en las etiquetas