Для начала ключевое слово «порог» устарело и не будет поддерживаться в будущей версии. Вместо этого следует использовать ключевое слово «detect_filter» (reference).
Вам необходимо убедиться, что хосты, инициирующие потоки syn, не являются хостами, содержащимися в вашей переменной $ HOME_NET, в противном случае вам нужно изменить IP-адрес источника как «any» или «$ HOME_NET» (если они находятся в $ HOME_NET). Это также зависит от вашей атаки на поток син. Используете ли вы несколько исходных хостов для синхронизации потока целевого хоста, или используете ли вы один источник-источник для синхронизации потока назначения? Это будет иметь значение. Если у вас несколько исходных хостов, вам необходимо отслеживать их по назначению (вы, вероятно, захотите отслеживать по месту назначения в любом случае). Если вы инициируете syn flood с одного хоста, вы можете отслеживать по источнику.
Скорость обнаружения_filter отслеживается либо по IP-адресу источника, либо по IP-адресу назначения. Это означает, что подсчет поддерживается для каждого уникального IP-адреса источника или каждого уникального IP-адреса назначения. Поэтому, если ваш поток syn flood имеет несколько исходных IP-адресов, вам нужно использовать «track by_dst» для отслеживания количества синхронизаций, которые идут в один пункт назначения. Пример:
оповещения TCP любой любой -> $ HOME_NET 80 (флаги: S; MSG: "Возможно TCP DoS"; поток: апатридом; detection_filter: дорожка by_dst, отсчет 70, секунды 10;)
Это правило будет предупреждать о каждом уникальном IP-адресе в $ HOME_NET в течение одного периода выборки в 10 секунд после первых 70 син. Написание такого правила может вызвать проблемы, так как вам нужно знать, что такое нормальное количество подключений. Ожидаете ли вы, что ваш веб-сервер получит более 70 подключений за 10 секунд? Если это так, вам нужно увеличить счетчик или уменьшить секунды.
Если SYN Flood атака имеет уникальный источник, генерирующий несколько SYN, к IP назначения в $ HOME_NET, вы можете отслеживать by_src:
оповещения TCP любой любой -> $ HOME_NET 80 (флаги: S; сообщ:» Возможные TCP DoS "; flow: stateless; detect_filter: track by_src, count 70, seconds 10;)
Это правило будет срабатывать при каждой синхронизации от уникального IP-адреса до уникального IP-адреса в $ HOME_NET в течение одного периода выборки в 10 секунд , после первых 70 син.
Пример: хост 10.1.1.1 отправляет 83 син в 10 секунд для размещения 10.1.1.2, последние 13 из этих syns будут предупреждены.
Я бы сказал, что вы хотите отслеживать по назначению, потому что он будет охватывать оба сценария (один или несколько исходных IP-адресов). Вы хотите, чтобы правило просто ограничивало количество подключений к вашему веб-серверу, поэтому вы будете отслеживать подключения к получателю и отбрасывать их после достижения определенного порога, чтобы защитить ваш сервер от перегруженности. syn floods типично рандомизируют исходный IP-адрес, поэтому, если вы отслеживаете по источнику, это не помешает синему потоку.