因為這區是最多人會來看的吧 所以我想一定多少會有人了解這個領域的東西

我的想法是 入侵偵測系統(目前是暫定用snort)和QOS掛在機器上
一旦發現有大量的流量經過時 ,snort一定會掉封包 甚至 DOS攻擊也會可讓機器掛掉
snort也沒辦法偵測到後續攻擊

那這個時候 我的想法就是
當snort偵測到異常時
1.就啟動QOS分流的機制,限制protocol頻寬,這時候snort也可以確保正常運作繼續偵測
(但缺點是通殺~就算是合法的下載也會被影響到)
2.處理過後 就回復被限制的頻寬
=================================================
不過我的疑問是
1.QOS可分為整體服務和差別服務,一個是限制protocol,一個是限制user,
限制user比較符合防堵入侵的原則,可是要如何得知呢

2.可不可以把QOS掛在前端的router上面,後面的snort偵測到異常時再去啟動QOS?
2.1那是由人工啟動嗎~
2.2經由SNMP的protocol嗎~
3.這過程會不會太過簡單 學術性不足
小弟先感謝了~