<div dir="ltr"><div>As a supplement to 2019102, this should detect an inbound SSDP DoS attack:<br><br>alert udp $EXTERNAL_NET 1900 -> $HOME_NET any (msg:"Possible SSDP DRDoS"; dsize:>100; content:"HTTP/1.1 200 OK|0d 0a|"; depth:17; content:"ST|3a 20|"; nocase; distance:0; threshold: type both,track by_src,count 50,seconds 5; classtype:attempted-dos; sid:xxxx; rev:1;)<br>


<br></div>The threshold likely needs to be tweaked, could change it to track by_dst depending on how you want to be alerted.<br clear="all"><div><div><div><div dir="ltr"><div><span><font color="#888888"><div><div dir="ltr">


<div><span><font color="#888888"><span><font color="#888888"><div>
        <div>
          <div dir="ltr">
            <div><span><font color="#888888">
                  <div>
                    <p><font face="Calibri"><b><small>Jake Warren </small><small><br>
                          </small></b></font><small> <font face="Calibri"><b><font color="#365f91"><span>Level

                                2 Sr. Network Security Analyst</span></font></b><br>
                          <a href="http://www.masergy.com/" target="_blank">www.masergy.com</a></font></small></p>
                  </div>
                </font></span></div>
          </div>
        </div>
      </div></font></span></font></span></div></div></div></font></span></div></div></div>
</div></div></div>