是否可以使用Snort检测有效的重复HTTP GET请求? 例如。客户端计算机正在发送HTTP请求以泛洪服务器。
答案 0 :(得分:1)
只是fyi,你的网络服务器在“HTTP GET泛滥”之前会被淹没的可能性更大(并且更容易/更常见的攻击),所以你可能想要先防止这种类型的攻击。
无论如何,您可以使用detection_filter选项和简单的内容匹配来完成此操作。假设您的Web服务器的IP地址是192.168.1.5,它仅通过端口80,示例规则如下:
alert tcp any any -> 192.168.1.5 80 (msg:"GET Request flood attempt"; \
flow:to_server,established; content:"GET"; nocase; http_method; \
detection_filter:track by_src, count 30, seconds 30; metadata: service http;)
此规则将在前30个GET请求之后的30秒的一个采样周期内从单个IP地址到192.168.1.5的每个GET请求触发。
示例: