Snort threshold 유형

 

threshold: type <limit|threshold|both>, track <by_src|by_dst>, count <c>, seconds <s>;

 

 

[두음] 리스본(Lithbo~) 까마한

 

limit : 이벤트까지

threshold : 이벤트마다

both : 이벤트 시 한번

 

threshold: type limit, track by_dst, count 10, seconds 60

목적지 IP(by_dst)를 기준으로  매 60초 동안 10번째 인벤트까지 alert 수행

 

threshold: type threshold, track by_dst, count 10, seconds 60

목적지 IP(by_dst)를 기준으로  매 60초 동안 10번째 인벤트마다 alert 수행

 

threshold: type limit, track by_dst, count 10, seconds 60

목적지 IP(by_dst)를 기준으로  매 60초 동안 10번째 인벤트 시 한번 alert 수행

 

아래 링크의 그림 설명을 보면 좀 더 이해가 쉬울 듯 합니다.

 

threshold (tistory.com)

threshold