wie Sie wissen, wenn snort erkennt syn-flood-Angriffe, da die snort-alert ist nicht die Protokollierung jedes Ding
ich habe snort läuft auf Centos als IDS. ich bin versucht zu testen, ob snort erkennt die syn-flood-Angriff. Ich bin das senden der Angriff aus dem gleichen LAN-Netzwerk. Ich fügte hinzu, diese Regel in lokalen.(Regeln alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Möglich, TCP-DoS"; flow: stateless; threshold: type both, track by_src, Grafen 70, Sekunden 10; sid:10001;rev:1;). Snort-alert-Datei nicht Protokollierung wenn ich snort in fast mode. Es war die Protokollierung aber jetzt ist es nicht . Ich kann also nicht sehen, wenn es erkennt den Angriff oder nicht . Wie kann ich snort erkennt diesen Angriff ?
Du musst angemeldet sein, um einen Kommentar abzugeben.
Für den Anfang, das Stichwort "Schwelle" ist veraltet und wird nicht unterstützt werden in einem zukünftigen release. Sie sollten den Suchbegriff "detection_filter" statt (Referenz).
Müssen Sie sicherstellen, dass die hosts die Einleitung syn-flood-nicht-hosts enthalten in Ihrem $HOME_NET variable, andernfalls müssen Sie zum ändern der Quell-IP entweder "alle" oder "$HOME_NET" (wenn Sie in der $HOME_NET). Dies hängt auch von Ihrer syn-flood-Angriff. Verwenden Sie mehrere Quell-hosts, um syn-flood Ziel-host, oder verwenden Sie eine Quell-host zum syn-flood Ziel? Dies wird einen Unterschied machen. Wenn Sie mehrere Quell-hosts, die Sie brauchen, um zu verfolgen, die durch destination (den Sie wahrscheinlich wollen, um zu verfolgen, indem Sie Ziel so oder so für diese). Wenn Sie initiieren, der die syn-Flut, die von einem einzigen host, dann können Sie verfolgen, indem Sie source.
Die rate für detection_filter verfolgt, entweder von Quell-IP-Adresse oder Ziel-IP-Adresse. Dies bedeutet, count gepflegt ist einzigartig für jede Quell-IP-Adresse oder jede eindeutige Ziel-IP-Adresse. Also, wenn Ihr syn-flood hat mehrere Quell-IPs müssen Sie mit "track by_dst" zu verfolgen, die Menge des syns, die gehen, um ein einzelnes Ziel. Beispiel:
alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Möglich, TCP-DoS"; flow: stateless; detection_filter: track by_dst, Grafen 70, 10 Sekunden;)
Diese Regel aufmerksam auf jedes syn, um eine eindeutige IP in $HOME_NET während einer probenahmedauer von 10 Sekunden, nachdem der erste 70-syns. Schreiben Sie eine Regel wie diese können zu Problemen führen, wie Sie benötigen, zu wissen, was die normale Menge von verbindungen. Erwarten Sie, dass Ihr webserver mehr als 70 verbindungen in 10 Sekunden? Wenn ja, dann würden Sie brauchen, um erhöhen Sie die Anzahl oder verringern Sie die Sekunden.
Wenn Ihr syn-flood-Angriff hat eine einzigartige Quelle erzeugen von mehreren syns zu einer Ziel-IP in $HOME_NET, können Sie verfolgen, by_src:
alert tcp any any -> $HOME_NET 80 (flags: S; msg:"Möglich, TCP-DoS"; flow: stateless; detection_filter: track by_src, Grafen 70, 10 Sekunden;)
Diese Regel wird das Feuer auf jedes syn-aus einer eindeutigen IP -, um eine eindeutige IP in $HOME_NET während einer probenahmedauer von 10 Sekunden, nachdem der erste 70-syns.
Beispiel: host 10.1.1.1 sendet 83 syns in 10 Sekunden zu host 10.1.1.2, die letzten 13 davon syns wäre alarmiert auf.
Ich würde sagen, Sie möchten, um zu verfolgen, indem Sie Ziel, weil es deckt beide Szenarien (einzelne oder mehrere Quell-IPs). Sie wollen in der Regel einfach zu begrenzt die Anzahl der verbindungen zu Ihrem webserver, so dass Sie verfolgen, die verbindungen zu den Ziel-und lassen Sie Sie, nachdem ein bestimmter Schwellenwert erreicht ist, um Ihren server zu schützen überwältigt wird. syn-floods, typisch, mischen Sie die Quell-IP, also, wenn Sie tracking durch Quelle es würde nicht verhindern, dass ein syn-flood.
Für meine Antwort, ich gehe davon aus dass die $variable HOME_NET ist Ihre interne LAN-Netzwerk? Ich gehe auch davon aus, dass der sender und empfangenden Geräten im gleichen Subnetz befinden.
Müssen Sie die ! aus dem Anfang des snort-Anweisung. Es sollte wie folgt Aussehen:
Wenn Sie die ! für die eingehende IP-filter, es wird sich für jeden Verkehr Außer dem Hause net. Seit Sie senden Verkehr zum und aus dem gleichen network, snort nicht fangen keine Verkehr, bis Sie Sie entfernen die !
Außerdem nehmen Sie die Klammer aus dem Anfang des snort-Anweisung.