Wykrywanie ataków typu DDoS

Atak DDoS (Distributed Denial of Service) polega na zalewaniu serwera dużą ilością pakietów, powodując jego przeciążenie.

Sposoby wykrywania ataków DDoS:

• Nagły wzrost ruchu ICMP:
  icmp and frame.len > 1000
• Podejrzanie duża liczba zapytań HTTP w krótkim czasie:
  http.request and frame.time_delta < 0.1
• Nieproporcjonalna liczba pakietów SYN:
  tcp.flags.syn == 1 and not tcp.flags.ack == 1