¿Snort / IDS detecta y alerta sobre un posible ataque DoS / DDoS?

3

Según el título, estoy intentando configurar Snort para detectar y alertar sobre un ataque entrante de Denegación de Servicio.

Al observar los conjuntos de reglas, que son principalmente reglas basadas en firmas, no puedo ver una forma lógica de buscar una avalancha de paquetes SYN ACK.

He visto algunos de los ejemplos del siguiente enlace, pero parecen ser en su mayoría ejemplos basados en anonmalay ( ¿Qué enfoques hay para detectar el ataque DoS en IDS / Firewall? ) - Me pregunto si hay una regla disponible para detectar tal ataque.

¡Gracias!

    
pregunta Xaphia 05.05.2013 - 17:15
fuente

1 respuesta

2

El firewall de la capa de aplicación web, como Modsecurity y el filtro de la capa de aplicación, como snort ruleset, son generalmente una regla de bases de firmas. Estos conjuntos de reglas son muy completos y cubren la mayoría de los ataques de capa de aplicación como XSS, inyección SQL. Aunque estos cortafuegos tienen soporte para protegerse contra DoS a través de contadores de nivel de sesión y usuario, generalmente no se recomienda, ya que requiere mucha computación.

Para comprender las estrategias de mitigación contra Application Layer Dos, puede explorar Mod_Evasive un módulo de apache. Hay cinco directivas que deben configurarse para proteger contra DoS de las IPs de la lista negra.

  1. DOSPageInterval : establece el intervalo mínimo accesible entre dos solicita a una página de la misma IP.
  2. DOSSiteInterval : establece un intervalo mínimo accesible entre dos Solicitudes a un sitio desde la misma IP.
  3. DOSPageCount : establece el límite para un número de solicitudes demasiado cortas para la misma página
  4. DOSSiteCount : establece el límite para un número de solicitudes demasiado cortas para el mismo sitio
  5. DOSBlockingPeriod : cuánto tiempo mal debe ser bloqueada la IP.
respondido por el Ali Ahmad 05.05.2013 - 19:38
fuente

Lea otras preguntas en las etiquetas