¿Es incluso posible especificar en una regla de snort la duración de una conexión?
Por ejemplo: en este formato, hora, minuto, segundo
H, M, S = 0, 2, 1
Si una conexión tiene una duración de 2 minutos y 1 segundo, entonces alerta.
O en este sentido:
Si una conexión dura más de 10 segundos, alerta.
¿Cómo implementamos la idea?
Respuesta corta: no.
Respuesta más larga: si tiene chuletas de codificación, básicamente necesita agregar una nueva palabra clave de detección que actúe casi exactamente como la palabra clave de umbral, excepto que alerta sobre cualquier paquete después de s, en lugar de c paquetes en s segundos. Esto podría ser atractivo si ya está construyendo sus sensores desde la fuente en su infraestructura. No es tan difícil: hace algunos años, armé una compilación para un cliente que restablecería activamente los ataques de fuerza bruta desde una IP determinada una vez que alcanzara c cuenta en s segundos.
Lea otras preguntas en las etiquetas network attack-prevention ids timing-attack snort