это не DDoS
посмотрите примеры в dos.rules и ddos.rules

ИМХО хороший ддос почти не реально вычеслить, как вы отличите нормальных пользователей от зомби, если бот будет заходить с рандомными прамежутками времени на рандомные урл притом каждый раз менть ип пакета?
На то он и Ddos.

на мой взгляд Snort не может детектировать DDoS. Например, если вы посмотрите ddos.rules то увидите, что те примеры DDoS, которые там заложены обнаруживют атаку лишь по содержимому пакета, причем атаки которые уже были и широко известны. Вот например.
DDOS TFN Probe - content:"1234"
DDOS Trin00 Daemon to Master PONG message detected - content:"PONG"
DDOS shaft handler to agent - content:"alive tijgu"
DDOS Trin00 Attacker to Master default mdie password - content:"killme"
DDOS mstream agent to handler - сontent:"newserver"
DDOS Stacheldraht handler->agent niggahbitch - content:"niggahbitch"

Когда на Вас будет DDoS, то Вам придется писать сигнатуры самому, поскольку атака будет наверняка нетиповой. Возникает вопрос: "Зачем Вам писать правила Snort, если вы и так уже знаете что у Вас DDoS?"
Зачем вообще детектировать DDoS. Его надо брокировать. Причем заблокировать вы его сможете эффективно лишь у провайдера.

Все что вы сможете заблокировать у себя: атаки на уязвимости протоколов и DoS атаки на загрузку ресурсов публичных серверов. А вот атаку на переполнение канала к провайдеру - никак.

Кроме того у Snort нереальное количество ложных срабатываний. Посмотрите на системы предотвращения атак профессиональные: IBM Proventia IPS, Cisco IPS и т.д.

Если говорить про блокирование DDoS, то провайдеры обычно используют решения от Arbor, Narus, CloudShield.