¿Dónde puedo encontrar una firma de snort para detectar el ataque DoS de slowhttp desde la herramienta de Slowloris [duplicar]

2

Estoy realizando una prueba en algunos ataques DoS y cómo detectarlos. Actualmente estoy probando la herramienta slowloris, pero todas las firmas que he visto en línea, por muy pocas que sean, no funcionan incluso después de modificar algunos parámetros. Alguien puede indicarme un sitio o un ejemplo de la regla de detección de snort para detectar ataques de cámara lenta.

    
pregunta obiigbe91 09.04.2017 - 00:42
fuente

1 respuesta

0

slowloris no termina el encabezado de la solicitud web.

pcre:!"/\x0D\x0A\x0D\x0A$/H"; detectará la solicitud web que no termina con 0D0A0D0A

O también puede usar /D que coincida con la solicitud HTTP no normalizada o el encabezado de respuesta HTTP.

Pero no estoy seguro de que esto funcione. :) De hecho, creo que es mejor monitorear los cambios en el volumen de la sesión que la coincidencia de patrones, si desea detectarlos como slowloris.

    
respondido por el Mr.kang 09.04.2017 - 07:09
fuente

Lea otras preguntas en las etiquetas