BRO IDS - DDOS 공격을 탐지합니다

Question

DDOS 공격을 탐지하려면 BRO ID를 사용해야합니다.Bro.org에서 Bro.2를 설치 한 다음이 분석을 수행하는 방법을 확인했습니다.어떤 사람들은 DDOS 공격을 탐지하기 위해 synflood.bro를 사용하도록 제안합니다.그것은 논리적입니다.

synflood.bro를 사용하려고합니다.첫째, Bro2.2 패키지에서 찾을 수 없습니다.그래서, 나는 인터넷에서 그것을 다운로드 ( http://www.filewatcher.com)/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro)

이 오류가 발생했습니다 :

line 3: can't open notice

line 3 --> @load notice

.

확인, 그것은 통지를받지 못할 수 없습니다.그러나 "통지"가 무엇 여야합니다.그것은 폴더 나 뭐야?나는 그것을 알아낼 수 없었다.

Answer 1

@Load 지시문은 브로스를 스크립트로드하도록 지시합니다.그것은 /opt/bro/share/bro/sites/local.bro

에 있습니다

더 많은 데이터가 밖에 있지만 Bro 2.2 고지 (Bro Alerts)에서는 프레임 워크에서

입니다.

1. 존재하지 않는 통지 정책 스크립트 또는 스크립트 세트 또는
2. BRO 2.1 기능성을로드하려고 시도하는 것은 불평하고 있습니다.

Answer 2

이이 @Load 문을 만들어지는 local.bro 파일의 줄을 나타냅니다.사이트 폴더 내의 파일을 확인하고 원하는 경우 BRO가 실행되도록하려면 주석을 처리하십시오.