Bro IDS - detectando ataques DDoS
-
21-12-2019 - |
Pergunta
Preciso usar o BRO IDS para detectar ataques DDoS.Instalei o bro 2.2 do bro.org, depois verifiquei como fazer essa análise.Algumas pessoas me sugerem usar synflood.bro
para detectar ataques DDoS.É lógico.
estou tentando usar synflood.bro
.Primeiro, não consegui encontrá-lo no pacote bro2.2.Então, baixei da internet (http://www.filewatcher.com/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro
)
Estou tendo este erro:
line 3: can't open notice
line 3 --> @load notice
OK, está claro que não foi possível encontrar aviso.Mas, qual deveria ser o “aviso”.É uma pasta ou o quê?Eu não consegui descobrir.
Solução
a diretiva @load diz ao Bro para carregar scripts.Está em /opt/bro/share/bro/sites/local.bro
Sem mais dados é difícil dizer, mas no Bro 2.2 os avisos (alertas Bro) agora são uma estrutura, você também está
- Tentando carregar um script de política de aviso ou um conjunto de scripts que não existe ou
- Tentar carregar a funcionalidade do Bro 2.1 para o Bro está reclamando.
Outras dicas
Eu esperaria que isso se referisse a uma linha no seu arquivo local.bro onde as instruções @load são feitas.Verifique esse arquivo na pasta do seu site e comente-o para permitir que o bro seja executado, se desejar.