Tengo un archivo pcap capturado desde una PC de usuario. Necesito analizar si ha inicializado un ataque de DOS a cualquier servidor.
alert tcp any any -> any 8080 (msg:"DOS flood denial of service attempt"; flow:to_server; detection_filter:track by_dst, count 1000, seconds 60; sid:25101; rev:1;)
Esto dará cualquier ataque entrante. ¿Cómo se escribe una regla SNORT para detectar ataques de salida?
Gracias de antemano.