get flooding 다시해보기
offset:0 과 depth:3 첫byte 부터 3byte 사이에서 content탐색 (0부터3글자)
alerr tcp any any -> any any (msg:"Get Flooding attack";
content:"GET /"; nocase; threshold:type both, track by_src, count 100, seconds 1; sid:1000160;)
넣기
alert tcp any any -> any any (msg:"Get flooding"; content:"|47 45 54|"; offset:0 depth:3 threshold:both, track by_src, count 20, seconds 1; sid:0001;)
get요청은 정상적이지만 막 몇만개가 들어온다 초당몇백개씩 보낸다 그러면 사용자가 의심스러우니까
src 출발지로 잡습니다.
'공격기법 및 탐지' 카테고리의 다른 글
| 내부망 원격 접속시도 (0) | 2021.01.11 |
|---|---|
| telnet 접속 탐지,bruteforce 공격 탐지(무작위대입공격), slow read dos 공격 탐지 (0) | 2021.01.08 |
| slowloris 공격 탐지 (0) | 2021.01.08 |
| smurf attack 공격탐지 (0) | 2021.01.08 |
| ICMP flooding , NTP replection 공격탐지 (0) | 2021.01.08 |