Snort detection_filter no alerta

En mi caso, utilizo esta regla de alerta de trabajo para las inundaciones SYN.

alert tcp any any -> 192.168.1.3 any (msg:"TCP SYN Flooding attack detected"; flags:S; threshold: type threshold, track by_dst, count 10 , seconds 30; sid: 5000001; rev:1;)

Donde:

• La palabra clave "umbral" significa que esta regla registra todos los eventos en este SID durante un intervalo de 30 segundos. Por lo tanto, si se producen menos de 10 eventos en 30 segundos, no se registra nada. Una vez que se registra un evento, comienza un nuevo período de tiempo.
• La palabra clave "track" by_dst significa track by IP de destino.
• La palabra clave "contar" significa contar el número de eventos.
• La palabra clave "segundos" significa período de tiempo durante el cual se acumula el conteo.
• La palabra clave "sid" se usa para identificar de forma única las reglas de Snort. Esta información permite que los complementos de salida identifiquen las reglas fácilmente. Esta opción se debe utilizar con la palabra clave "rev".
  • sid < 100 Reservado para uso futuro
  • 100 < sid < 999,999 Reglas incluidas con la distribución de Snort
  • sid > 1,000,000 Usado para reglas locales

Hay más información aquí y aquí .