Таким образом, у меня есть правило фырканья, которое обнаруживает атаки с использованием синфазного потока, которые выглядят следующим образом:
alert tcp any any -> $ HOME_NET 80 (сообщение: «SYN Flood - SSH»; флаги: S;
поток: без гражданства; Detection_filter: отслеживать by_dst, считать 40, секунд 10;
ГИД: 1; с.и.д.: 10000002; ред: 001; ClassType: попытка-DOS;)
Проблема в том, что когда я запускаю его с помощью tcpreplay (с файлом Ddos.pcapng):
sudo tcpreplay -i интерфейс / home / Practicak / DDoS.pcapng
При прослушивании на моей VM1 и после запуска воспроизведения TCP я получаю много предупреждений .. Е.Г. Сотни предупреждений Syn Flood Detected.
Как я могу ограничить это, чтобы я получал только / 1 предупреждение для каждого инициированного Syn Flood? И.Е. использование TCPReplay с файлом pcap .. & это хорошая практика для отображения меньшего количества предупреждений?
Спасибо