Security 每个SNORT规则只有一个警报
我正在配置SNORT以警告可能的SYN DDoS攻击。我添加了本地规则警报:Security 每个SNORT规则只有一个警报,security,snort,denial-of-service,intrusion-detection,Security,Snort,Denial Of Service,Intrusion Detection,我正在配置SNORT以警告可能的SYN DDoS攻击。我添加了本地规则警报:alert tcp any->$HOME\u NET 80(标志:S;消息:“可能的同步DDoS”;检测\u过滤器:按\u src跟踪,计数70,秒10;sid:10000002;版本:002;) 它工作正常,但我收到许多警报 我正在使用hping3 MACHINE\u IP--flood-p 80-S攻击我自己的机器,在前70次攻击后,我收到的每个SYN消息都有一个警报,这是很多,我无法区分SYN DDoS之间的其他警
alert tcp any->$HOME\u NET 80(标志:S;消息:“可能的同步DDoS”;检测\u过滤器:按\u src跟踪,计数70,秒10;sid:10000002;版本:002;)
它工作正常,但我收到许多警报
我正在使用hping3 MACHINE\u IP--flood-p 80-S
攻击我自己的机器,在前70次攻击后,我收到的每个SYN消息都有一个警报,这是很多,我无法区分SYN DDoS之间的其他警报
我想知道是否有任何方法可以针对试图攻击我的机器的每个不同ip只获得一个警报
如果我使用threshold:type two
而不是detection\u filter
我会每10秒收到一个警报,这会更好,但是threshold
似乎不受欢迎我还想了解为什么使用不推荐的方法可以获得较少的警报
谢谢大家!