snort规则:检测ACKFLOOD攻击
检测规则
alert tcp $HOME_NET any -> $HOME_NET any (flags: A; msg:"DDOS-检测到ACK FLOOD"; flow: stateless; threshold: type both, track by_dst, count 1000, seconds 2; sid:100009;rev:1;)
其中,count 1000, seconds 2是指2秒钟内ack数据包超过1000就触发告警。
触发方式参考:
ACKFLOOD模拟方法