Snort / IDS Détecter et alerter sur une éventuelle attaque DO / DDO?
Selon le titre, je tente de configurer Snort pour détecter et alerter sur une attaque de déni de service entrant.
En examinant les règles de règles, qui sont principalement des règles de signature, je ne peux pas voir une façon logique de rechercher une inondation de paquets Syn ACK?
J'ai vu certains des exemples à partir du lien suivant, mais ils semblent être principalement des exemples basés à Anonmalay ( quelles approches doivent détecter l'attaque DOS dans IDS/pare-feu? ) - Je me demande s'il y a une règle disponible pour détecter une telle attaque.
Merci!
Le pare-feu de couche d'application Web tel que ModSecurity et Filtre de calque d'application, tels que Snort Ringset, sont généralement la règle des bases de signature. Ces règles sont très complètes et couvrent la plupart des attaques de couche d'application comme XSS, injection SQL. Bien que ces pare-feu disposent d'un soutien pour protéger contre DOS via des compteurs de session et de niveau d'utilisateur, mais cela n'est généralement pas recommandé car il nécessite beaucoup d'informatique.
Pour la compréhension des stratégies d'atténuation contre les couches d'application DOS, vous pouvez explorer mod_evasive un module Apache. Il existe cinq directives pour être configurées pour protéger contre DOS des IPLLLISED IPS.
- DospageInterval : définit l'intervalle accessible minimum entre deux demandes à une page à partir du même IP.
- DossiteInterval : définit un intervalle accessible minimum entre deux demandes à un site de la même adresse IP.
- Dospagecount : définit la limite pour un certain nombre de demandes trop courtes sur la même page.
- Dossitecount : définit la limite pour un certain nombre de demandes trop courtes sur le même site.
- DosblockingPeriod: combien de temps la mauvaise adresse IP doit être bloquée.