suricata规则编写-检测SYN-Flood攻击

步骤

1. Kali虚拟机使用hping3发起SYN泛洪攻击，伪造随机地址。
2. 利用flags标志和threshold关键字编写规则
3. 测试

hping3发起SYN泛洪攻击

利用Kali工具hping3 发起SYN半连接泛洪攻击

编写规则

suricata兼容snort规则，使用flags标志配合threshold编写规则，flags:S表示匹配SYN标志位为1的tcp包，根据dst进行跟踪，在30s内出现15个以上连接就发出告警。

测试

经过测试，可以快速检测出SYN攻击。

ps:由于一开始使用伪造ip地址进行攻击，并在规则中track by_src,导致一直无法触发规则，因此编写规则的每一个字段都要经过考虑再写。。
另外，如果不使用flags:S标志，使用下列规则却无法匹配，原因未明：

（每个SYN握手包的第48个字节都是0x02,表示SYN=1，其他标志位为0，不管精准匹配还是扩大搜索范围匹配，都无法触发规则。。）