<div dir="ltr">hi guys,<div><br></div><div>I'm looking for a way to block ip addresses performing syn flood on my network.</div><div><br></div><div>I've seen some exemple rules, like this one:</div><div>alert tcp !$HOME_NET any -> $HOME_NET 80 (flags: S; msg:"Possible TCP DoS"; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)<br>
</div><div><br></div><div>The rule seems to trigger correctly. What i'm looking for, is something like snort's rate_limit filter that blocks the source ip for n seconds if it triggers the above rule x times.</div>
<div><br></div><div>If you have any idea on how to do it i'll be gratefull.</div><div><br></div><div>Thank you.</div><div><br></div><div><br></div></div>