Esta pregunta es sobre SNORT: básicamente estoy tratando de detectar PING FLOOD attack . He incluido el regla ** (elimine icmp cualquiera cualquiera - > cualquiera cualquiera (itype: 8; umbral, seguimiento by_src, cuenta 20, segundos; msg: "Se detectó un ataque de inundación de ping"; sid: 100121)) ** para eso en el archivo ddos.rule de snort.
Ataque con el comando hping3 -1 --fast .
Las estadísticas de ping en la máquina atacante dicen: 100% de pérdida de paquetes. sin embargo, las estadísticas de acción de Snort muestran los veredictos como: Bloque - > 0.
¿Por qué sucede esto?