Nhờ mấy anh phân tích giùm em cái rule snort sau:
Code:
alert ip any any -> any 5060 (msg:"COMMUNITY SIP TCP/IP message flooding directed to SIP proxy";
threshold: type both, track by_src, count 300, seconds 60; classtype:attempted-dos; sid:100000160;rev:2;)
Em chỉ hiểu sơ sơ nó là rule cảnh báo flood attack, địa chỉ nguốn any port nguồn any. Còn địa chỉ đích là any port đích là 5060, em thắc mắc chỗ này, vì thường tấn công vào port 80 mà, với khi em tấn công flooding để test rule trên thì nó cũng báo là port đích 80 chứ không phải là port 5060
Nhờ mấy anh giải thích giúp nội dung của rule trên giùm em với. Cảm ơn mọi người