Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 检测http洪水的Snort规则_Security_Snort_Flooding - Fatal编程技术网
Fatal编程技术网
  • security/
  • Security 检测http洪水的Snort规则

Security 检测http洪水的Snort规则

security

Security 检测http洪水的Snort规则,security,snort,flooding,Security,Snort,Flooding,是否可以使用Snort检测有效的重复HTTP GET请求? 客户机正在向服务器发送HTTP请求 仅供参考,您的web服务器更有可能(更容易/更常见的攻击)在“HTTP get flood”之前被syn淹没,因此您可能希望首先防止此类攻击 无论如何,您可以通过选项和简单的内容匹配来实现这一点。假设您的web服务器的IP地址为192.168.1.5,并且它仅在端口80上运行,示例规则如下: alert tcp any any -> 192.168.1.5 80 (msg:"GET Reques

是否可以使用Snort检测有效的重复HTTP GET请求?
客户机正在向服务器发送HTTP请求

仅供参考,您的web服务器更有可能(更容易/更常见的攻击)在“HTTP get flood”之前被syn淹没,因此您可能希望首先防止此类攻击

无论如何,您可以通过选项和简单的内容匹配来实现这一点。假设您的web服务器的IP地址为192.168.1.5,并且它仅在端口80上运行,示例规则如下:

alert tcp any any -> 192.168.1.5 80 (msg:"GET Request flood attempt"; \
flow:to_server,established; content:"GET"; nocase; http_method; \
detection_filter:track by_src, count 30, seconds 30; metadata: service http;)
在前30个GET请求之后,在30秒的一个采样周期内,此规则将在从单个IP地址到192.168.1.5的每个GET请求上触发

例如:

  • 1.2.3.4向192.168.1.5发送GET请求,30秒计数器将启动,计数为1
  • 1.2.3.4在10秒内再发送29个GET请求,不会生成警报。计数器是30,已经10秒了
  • 在接下来的20秒内,从1.2.3.4到192.168.1.5的任何GET请求都将生成警报
当然有可能,但您的问题有点让人困惑,您想检测“有效”的HTTP GET请求,而不是“无效”的HTTP GET请求?您是否有使get请求“有效”的标准(即需要http头中的某些内容)?Snort通常用于检测“无效”请求并阻止它们。为什么要检测有效的get请求?请详细说明你在这里到底想做什么;有人正在发送重复的HTTP GET,目的是使Web服务器泛滥。