次のルールを Snort に入れる必要がある課題があります。
tcp any any -> 192.168.1.0/24 any (msg:"TCP DoS"; フロー: 確立された、to_server; フラグ:A; しきい値: タイプしきい値、トラック by_src、カウント 10、秒 10;)
このルールは、HC が SVR で DoS を実行するのを阻止することになっています。このルールにより、 へのトラフィックが停止するという印象を受けました。.1.0/24 サブネットは、. に向かう「SYN」応答を停止します。.1.0/24 サブネットとこれにより、サーバーは動作を継続できます
私のルールの見方では、うまくいきません。間違った場所に向かうトラフィックをブロックします。サーバーは にあります。.2.0/24 および. .3.0/24 ネットとトラフィックがその方向に向かわないようにブロックする必要があります。
私のネットワークは次のように設定されています。
システム / LAN セグメント / IP アドレス
管理クライアント (AC) / IT / 192.168.100.3/24
ユーザー クライアント (UC) / 法人 / 192.168.101.25/24
ハッカー クライアント (HC) / ローグ / 192.168.13.37
pfSense ルーター/ファイアウォール (3 NIC) / fwNet / 192.168.1.2
IT 192.168.100.1
Corporate 192.168.101.1
Ubuntu ルーター (3 NIC) / fwNet / 192.168.1.1
idsNet 192.168.2.1
Rogue 192.168.13.1
Snort IDS/IPS (2 NIC) (IDS) idsNet 192.168.2.2
sNet 192.168.3.1
サーバー (SRV) / sNet / 192.168.3.2
上記のフォームでは見栄えが悪いですが、今は修正できません。試してみましたが、このシステムには切り取りツールがありません。これが今のところ最善の方法です。
要するに誰が正しいの?
助けてくれてありがとう。これは情報提供です。課題は提出され、採点されています。これがどのように機能するかを理解する必要があります。
再度、感謝します。