Snort detection_filter未报警

Question

我试图通过使用以下规则来实现一个简单的洪泛攻击警报：

alert tcp any any <> any any (msg:"Flooding attack!";detection_filter:track by_dst, count 4, seconds 1; sid:1000036)

即使我的流量为10 Pkts/秒(用Snort计算)，它也不会报警。

/var/snort/log/alert是空的。

snort框上的数据包跟踪显示正在看到所有数据包。

Snort版本2.9.9.0

我做错了什么？

Answer 1

在我的例子中，我对SYN洪水使用这个工作警报规则。

alert tcp any any -> 192.168.1.3 any (msg:"TCP SYN Flooding attack detected"; flags:S; threshold: type threshold, track by_dst, count 10 , seconds 30; sid: 5000001; rev:1;)

其中：

• “阈值”关键字意味着此规则在30秒间隔内记录此SID上的每个事件。因此，如果30秒内发生的事件少于10个，则不会记录任何事件。一旦一个事件被记录下来，一个新的时间段就开始了。
• “跟踪”by_dst关键字的意思是通过目标IP跟踪。
• “计数”关键字表示事件的计数数。
• “秒”关键字是指累积计数的时间段。
• "sid“关键字用于唯一地标识Snort规则。这个信息允许输出插件很容易地识别规则。此选项应与"rev“关键字一起使用。
  • sid < 100留待将来使用
  • Snort发行版中包含的100 < sid <999 999规则
  • 用于本地规则的sid > 1,000,000

还有进一步的信息这里和这里。