我正在使用 Suricata 设置入侵检测系统 (IDS)。我想编写一个自定义规则,只要我的虚拟机发生登录尝试失败,它就会生成警报。
例子:
alert tcp any any -> $HOME_NET 22 (msg:"SSH Brute Force Attempt";flow:established,to_server;content:"SSH";nocase;offset:0; depth:4;detection_filter:track by_src, count 2, seconds 2;sid:2005;rev:1;)
我尝试了 SSH 规则的各种组合,但无法在 Suricata 警报部分看到任何警报,其中包含多次错误的 SSH 尝试。(错误尝试 => 使用无效密码生成警报)
请让我知道该怎么做。