Estoy realizando una prueba en algunos ataques DoS y cómo detectarlos. Actualmente estoy probando la herramienta slowloris, pero todas las firmas que he visto en línea, por muy pocas que sean, no funcionan incluso después de modificar algunos parámetros. Alguien puede indicarme un sitio o un ejemplo de la regla de detección de snort para detectar ataques de cámara lenta.
slowloris no termina el encabezado de la solicitud web.
pcre:!"/\x0D\x0A\x0D\x0A$/H"; detectará la solicitud web que no termina con 0D0A0D0A
O también puede usar /D que coincida con la solicitud HTTP no normalizada o el encabezado de respuesta HTTP.
Pero no estoy seguro de que esto funcione. :) De hecho, creo que es mejor monitorear los cambios en el volumen de la sesión que la coincidencia de patrones, si desea detectarlos como slowloris.
Lea otras preguntas en las etiquetas denial-of-service ids snort