Security 检测http洪水的Snort规则
是否可以使用Snort检测有效的重复HTTP GET请求?Security 检测http洪水的Snort规则,security,snort,flooding,Security,Snort,Flooding,是否可以使用Snort检测有效的重复HTTP GET请求? 客户机正在向服务器发送HTTP请求 仅供参考,您的web服务器更有可能(更容易/更常见的攻击)在“HTTP get flood”之前被syn淹没,因此您可能希望首先防止此类攻击 无论如何,您可以通过选项和简单的内容匹配来实现这一点。假设您的web服务器的IP地址为192.168.1.5,并且它仅在端口80上运行,示例规则如下: alert tcp any any -> 192.168.1.5 80 (msg:"GET Reques
客户机正在向服务器发送HTTP请求 仅供参考,您的web服务器更有可能(更容易/更常见的攻击)在“HTTP get flood”之前被syn淹没,因此您可能希望首先防止此类攻击 无论如何,您可以通过选项和简单的内容匹配来实现这一点。假设您的web服务器的IP地址为192.168.1.5,并且它仅在端口80上运行,示例规则如下:
alert tcp any any -> 192.168.1.5 80 (msg:"GET Request flood attempt"; \
flow:to_server,established; content:"GET"; nocase; http_method; \
detection_filter:track by_src, count 30, seconds 30; metadata: service http;)
在前30个GET请求之后,在30秒的一个采样周期内,此规则将在从单个IP地址到192.168.1.5的每个GET请求上触发
例如:
- 1.2.3.4向192.168.1.5发送GET请求,30秒计数器将启动,计数为1
- 1.2.3.4在10秒内再发送29个GET请求,不会生成警报。计数器是30,已经10秒了
- 在接下来的20秒内,从1.2.3.4到192.168.1.5的任何GET请求都将生成警报