Bro IDS - 检测DDoS攻击

Question

我需要使用BRO IDS来检测DDoS攻击。我从bro.org安装了bro 2.2，然后我检查了如何做这个分析。有人建议我使用synflood.bro来检测DDoS攻击。这是合乎逻辑的。我正在尝试使用synflood.bro。首先，我无法在bro2.2软件包中找到它。所以，我下载了它从互联网上（http://www.filewatcher.com/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro）

我有此错误：

line 3: can't open notice 

line 3 --> @load notice 

OK，很显然它不能找到通知。但是，什么应该是“通知”。它是一个文件夹还是什么？我无法弄清楚。

Answer 1

@load指令告诉Bro加载脚本。它它/opt/bro/share/bro/sites/local.bro

随着更多的数据很难说，但在2.2弟兄通知（BRO警报）现在的框架，你要么

1. 试图加载通知政策脚本或不存在的一组脚本或
2. 试图将Bro 2.1功能加载到Bro正在抱怨。

Answer 2

我希望这是指您的local.bro文件中的@load语句所在的行。检查您的站点文件夹中的文件并注释掉，以便允许bro运行，如果你愿意。