步驟
- Kali虛擬機使用hping3發起SYN泛洪攻擊,僞造隨機地址。
- 利用flags標誌和threshold關鍵字編寫規則
- 測試
hping3發起SYN泛洪攻擊
利用Kali工具hping3 發起SYN半連接泛洪攻擊
編寫規則
suricata兼容snort規則,使用flags標誌配合threshold編寫規則,flags:S表示匹配SYN標誌位爲1的tcp包,根據dst進行跟蹤,在30s內出現15個以上連接就發出告警。
測試
經過測試,可以快速檢測出SYN攻擊。
ps:由於一開始使用僞造ip地址進行攻擊,並在規則中track by_src,導致一直無法觸發規則,因此編寫規則的每一個字段都要經過考慮再寫。。
另外,如果不使用flags:S標誌,使用下列規則卻無法匹配,原因未明:
(每個SYN握手包的第48個字節都是0x02,表示SYN=1,其他標誌位爲0,不管精準匹配還是擴大搜索範圍匹配,都無法觸發規則。。)