Bro检测DDoS攻击

Question

我需要使用BRO来检测DDoS攻击。我从bro.org安装了BRO2.2，然后我检查了如何进行这个分析。有些人建议我使用synflood.bro来检测DDoS攻击。这是合理的。

我正在尝试使用synflood.bro。首先，我在第2.2条中找不到它。所以，我从网上下载(http://www.filewatcher.com/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro)

我犯了这个错误：

line 3: can't open notice

line 3 --> @load notice

好的，很明显它找不到通知。但是，什么应该是“通知”呢？是文件夹还是什么？我搞不懂。

Answer 1

@load指令告诉Bro加载脚本。它在/opt/bro/share/bro/sites/local.bro中。

如果没有更多的数据，很难判断，但是在Bro 2.2中，通知(Bro警报)现在是一个框架，您可以选择

1. 试图加载不存在的通知策略脚本或一组脚本，
2. 试图向Bro加载Bro 2.1功能是在抱怨。

Answer 2

我希望这是指local.bro文件中的一行，其中有@load语句。检查您的网站文件夹中的文件，并注释它，以使bro能够运行，如果您愿意。