<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=windows-1250">


<META content="MSHTML 6.00.2900.2802" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>In some recent talks 
in Snorts IRC and in relation to my last emails and testing I think the 
problem may not have been fully addressed.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>The reason I have 
been using enforce_state with the stream4 preprocessor is because Snort is 
alerting on packets without the 3 way handshake even when I have config stateful 
set.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>I haven't tried this 
with snot or stick but I've been using the 2 attached pcaps. One is with the syn 
syn/ack removed out of the 3 way handshake.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>I have the option: 
</FONT></SPAN><SPAN class=075261617-10022006><FONT face=Arial size=2>config 
stateful</FONT></SPAN><SPAN class=075261617-10022006><FONT face=Arial 
size=2> (also tried with the -z flag and got same results) in my snort.conf 
and the below is the rule I am using.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>alert tcp 
$EXTERNAL_NET ANY -> $HTTP_SERVERS $HTTP_PORTS ( msg: "Web CGI: Test-cgi 
attempt"; flow: to_server,established;  uricontent:  "/test-cgi"; 
nocase; uricontent:  "*";   )</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>I've been sending 
the packets with tcpreplay but this should have no impact since regardless there 
is no 3way handshake. Im not sure if its somethig particular with this pcap or 
is Snort now vulnerable to  snot type attacks . I've attached a simple 
snort-test.conf just so it can be verified that I have not made a 
mistake.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>If I am correct then 
at this point I think Id highly recommend everyone using enforce_state in the 
stream4 preprocessor and maybe a run a second snort with a limited number of tcp 
stateless rules without the enforce_state, to ensure you have full 
coverage and to protect against DOS attacks.</FONT></SPAN></DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=075261617-10022006><FONT face=Arial size=2>// 
Joel</FONT></SPAN></DIV></BODY></HTML>
<BR>

<P><FONT SIZE=2>--<BR>
No virus found in this outgoing message.<BR>
Checked by AVG Free Edition.<BR>
Version: 7.1.375 / Virus Database: 267.15.5/256 - Release Date: 2/10/2006<BR>
</FONT> </P>

<P><FONT SIZE=2 FACE="Arial">     </FONT> </P>