https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Suricata_Rules_Dos_Protection
Suricata Rules Dos Protection - Versionsgeschichte
2026-05-15T00:05:56Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Suricata_Rules_Dos_Protection&diff=64556&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „<pre> # =============================== # Flood / DoS Schutz-Regeln # =============================== # Hinweis: # - Diese Regeln sind für LAB-Umgebungen geda…“
2025-09-05T16:20:24Z
<p>Die Seite wurde neu angelegt: „<pre> # =============================== # Flood / DoS Schutz-Regeln # =============================== # Hinweis: # - Diese Regeln sind für LAB-Umgebungen geda…“</p>
<p><b>Neue Seite</b></p><div><pre><br />
# ===============================<br />
# Flood / DoS Schutz-Regeln<br />
# ===============================<br />
# Hinweis:<br />
# - Diese Regeln sind für LAB-Umgebungen gedacht.<br />
# - In produktiven Netzen müssen die Schwellwerte (count / seconds) angepasst werden,<br />
# damit normales Traffic-Aufkommen nicht fälschlich blockiert wird.<br />
# - Action = "drop" blockiert Pakete (nur im IPS-Mode wirksam).<br />
# Zum Testen kannst du "alert" verwenden.<br />
<br />
# --- ICMP Floods (Ping) ---<br />
<br />
# Viele ICMP Echo-Requests (Pings) in sehr kurzer Zeit<br />
drop icmp any any -> $HOME_NET any (msg:"ICMP Flood detected (50 pings in 1s)"; \<br />
itype:8; detection_filter:track by_src, count 50, seconds 1; \<br />
sid:9001001; rev:1;)<br />
<br />
# Flood mit ICMP Destination Unreachable Nachrichten<br />
drop icmp any any -> $HOME_NET any (msg:"ICMP Destination Unreachable Flood"; \<br />
itype:3; detection_filter:track by_src, count 30, seconds 1; \<br />
sid:9001002; rev:1;)<br />
<br />
<br />
# --- UDP Floods ---<br />
<br />
# Generischer UDP Flood: sehr viele UDP-Pakete in 1 Sekunde<br />
drop udp any any -> $HOME_NET any (msg:"UDP Flood detected (200 pkts in 1s)"; \<br />
detection_filter:track by_src, count 200, seconds 1; \<br />
sid:9002001; rev:1;)<br />
<br />
# DNS Query Flood: viele Anfragen an Port 53 in kurzer Zeit<br />
drop udp any any -> $HOME_NET 53 (msg:"DNS Query Flood detected (100 in 1s)"; \<br />
detection_filter:track by_src, count 100, seconds 1; \<br />
sid:9002002; rev:1;)<br />
<br />
# NTP Flood: viele Requests an Port 123 (klassische Amplification)<br />
drop udp any any -> $HOME_NET 123 (msg:"NTP Flood detected (50 in 1s)"; \<br />
detection_filter:track by_src, count 50, seconds 1; \<br />
sid:9002003; rev:1;)<br />
<br />
<br />
# --- TCP SYN Floods ---<br />
<br />
# Generischer SYN Flood: viele SYN-Pakete an beliebige Ports<br />
drop tcp any any -> $HOME_NET any (msg:"TCP SYN Flood detected (100 SYN in 1s)"; \<br />
flags:S; detection_filter:track by_src, count 100, seconds 1; \<br />
sid:9003001; rev:1;)<br />
<br />
# Spezifisch für Webserver: SYN Flood gegen Port 80 (HTTP)<br />
drop tcp any any -> $HOME_NET 80 (msg:"HTTP SYN Flood detected (50 in 1s)"; \<br />
flags:S; detection_filter:track by_src, count 50, seconds 1; \<br />
sid:9003002; rev:1;)<br />
<br />
# Spezifisch für Webserver: SYN Flood gegen Port 443 (HTTPS)<br />
drop tcp any any -> $HOME_NET 443 (msg:"HTTPS SYN Flood detected (50 in 1s)"; \<br />
flags:S; detection_filter:track by_src, count 50, seconds 1; \<br />
sid:9003003; rev:1;)<br />
<br />
<br />
# --- Generische Verbindungs-Floods ---<br />
<br />
# Viele TCP-Verbindungsversuche in 10 Sekunden<br />
drop tcp any any -> $HOME_NET any (msg:"TCP Connection Flood (200 connections in 10s)"; \<br />
detection_filter:track by_src, count 200, seconds 10; \<br />
sid:9004001; rev:1;)<br />
<br />
# Viele UDP-"Flows" (z. B. Voice/Video oder Gaming) in kurzer Zeit<br />
drop udp any any -> $HOME_NET any (msg:"UDP Connection Flood (300 in 10s)"; \<br />
detection_filter:track by_src, count 300, seconds 10; \<br />
sid:9004002; rev:1;)<br />
<br />
# ===============================<br />
# Ende Flood / DoS Schutz-Regeln<br />
# ===============================<br />
</pre></div>
Thomas.will