因此,我有一个snort规则来检测类似如下的syn Flood攻击:
警告tcp any-> $ HOME_NET 80(msg:“ SYN Flood-SSH”; flags:S; 流:无状态; detection_filter:跟踪by_dst,计数40,秒10; GID:1; sid:10000002; rev:001; classtype:attempted-dos;)
问题是,当我使用tcpreplay(带有Ddos.pcapng文件)触发它时:
sudo tcpreplay -i 界面 /home/Practicak/DDoS.pcapng
在侦听我的VM1时,以及在运行TCP重放之后,我会收到很多警报。 100个Syn Flood检测到的警报。
如何限制此值,以使启动的每个Syn Flood仅收到少量/ 1警报?即将TCPReplay与pcap文件一起使用。.&是显示较少警报的良好做法吗?
谢谢
答案 0 :(得分:0)
@Liam, 阈值的创建将是一个答案。 参考:http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node35.html
另一种方法是在警报日志输入的主数据存储中进行汇总,例如Elasticsearch或Splunk。