问使用snort/suricata，我希望为我的家庭网络的每一个失败登录生成一个SSH警报

EN

由于您确实试图查看加密的内容(这是身份验证和随后的失败消息的位置)，因此Snort/suricata并不是以您描述的方式使用的理想工具。相反，日志监视将是一种更好的方法。

然而，还有其他的选择。您可以查看Fail2Ban，以便在IPTables级别进行自动阻塞。

如果您真的想要使用Snort/Suricata，可以使用警报阈值。例如：

 alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"Possible SSH brute forcing!"; flags: S+; threshold: type both, track by_src, count 5, seconds 30; sid:10000001; rev: 1;)

这会告诉Snort/Suricata在30秒内从单个源看到5个连接的阈值时，对入站连接(设置SYN的入站数据包)生成警报。阈值“两者”表示，在此阈值通过之前，它不会发出警报，并且它只会生成一个通知您的警报，而不是开始用警报淹没您。

注意，我已经将flags标记为S+。别只用SYN。请记住，ECN已经成为一个真正的“事物”，您可能会发现Snort/Suricata仍然称为“保留”的两个位是由于ECN协商而设置的。