Selon le titre, je tente de configurer Snort pour détecter et alerter sur une attaque de déni de service entrant.
En examinant les règles de règles, qui sont principalement des règles de signature, je ne peux pas voir une façon logique de rechercher une inondation de paquets Syn ACK?
J'ai vu certains des exemples à partir du lien suivant, mais ils semblent être principalement des exemples basés à Anonmalay ( quelles approches doivent détecter l'attaque DOS dans IDS/pare-feu? ) - Je me demande s'il y a une règle disponible pour détecter une telle attaque.
Merci!
Le pare-feu de couche d'application Web tel que ModSecurity et Filtre de calque d'application, tels que Snort Ringset, sont généralement la règle des bases de signature. Ces règles sont très complètes et couvrent la plupart des attaques de couche d'application comme XSS, injection SQL. Bien que ces pare-feu disposent d'un soutien pour protéger contre DOS via des compteurs de session et de niveau d'utilisateur, mais cela n'est généralement pas recommandé car il nécessite beaucoup d'informatique.
Pour la compréhension des stratégies d'atténuation contre les couches d'application DOS, vous pouvez explorer mod_evasive un module Apache. Il existe cinq directives pour être configurées pour protéger contre DOS des IPLLLISED IPS.