공격기법 및 탐지
snort 문법정리해서 다시해보기
taktaks
2021. 1. 8. 13:42
get flooding 다시해보기
offset:0 과 depth:3 첫byte 부터 3byte 사이에서 content탐색 (0부터3글자)
alerr tcp any any -> any any (msg:"Get Flooding attack";
content:"GET /"; nocase; threshold:type both, track by_src, count 100, seconds 1; sid:1000160;)
넣기
alert tcp any any -> any any (msg:"Get flooding"; content:"|47 45 54|"; offset:0 depth:3 threshold:both, track by_src, count 20, seconds 1; sid:0001;)
get요청은 정상적이지만 막 몇만개가 들어온다 초당몇백개씩 보낸다 그러면 사용자가 의심스러우니까
src 출발지로 잡습니다.