这一切都取决于您想要的复杂程度。前段时间我写了一个这样的工具，最后我把它简化了很多——最初的想法会导致大量的编码。所以我最终得到的是：

• 我认为经常违规的协议和端口组合列表（即 udp/123、udp/80、udp/19、udp/161、udp/53 等）
• 假设真正使用上述协议应该“永远”不会导致超过xyz的每秒数据包发送到单个目标主机

现在您需要一些 [*] 来“监听”netflow 并将数据收集到某种存储桶中。由于我使用采样的网络流，我制定了一个规则，即需要在 30 秒内超过给定 IP 的阈值两次 - 这有助于排除误报。

以上显然对放大攻击有好处，我将类似的逻辑应用于设置了 SYN 标志的 tcp/80 & tcp/443，效果也比较好。

[*] 我的“东西”是：pmacct (www.pmacct.net) + RabbitMQ + 我自己的用 Python 编写的存储桶守护进程。当警报被触发时，运营商可以指示工具采取行动（黑洞、流量规范或出口到商业洗涤器），这些信息使用 ExaBGP 反馈给 BGP。

希望这可以帮助。