<div dir="ltr">sfportscan alerts are inside preprocessor.rules that based on snort.conf isn't enable<br><br><div>#var PREPROC_RULE_PATH ../preproc_rules<br><br>....<br><br><div># include $PREPROC_RULE_PATH/preprocessor.rules</div>

<br></div><div>This file is inside a snort tarball and you need to include this file to be load.<br><br>Regards,<br></div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Nov 28, 2013 at 3:03 AM, Mustafa Karci <span dir="ltr"><<a href="mailto:mk@...3455..." target="_blank">mk@...3455...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div style="font-family:arial,sans-serif;font-size:13px">i have some problems with snort. The case is : I set up a snort-2.9.5.5-1.x86_64 on a CentOS 6 64 bit. This is working correctly, when i add a test rule like below, this is working oke. I can see the that the snort is writing to the snort-unified2.log.</div>


<div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">test.rules:</div><div style="font-family:arial,sans-serif;font-size:13px"><div>alert icmp any any -> any any (msg:"ICMP test"; sid:200001; rev:100001;)<br>


</div><div><br></div><div>I also configurated the fsportscan in the snort.conf<br></div><div><div># Portscan detection.  For more information, see README.sfportscan</div><div>preprocessor sfportscan: proto  { all } \</div>


<div>                         scan_type { all } \</div><div>                         sense_level { high }</div><div>                         #logfile { pscan1.log }</div></div><div><br></div><div>But when i do a nmap -sS xxx.xxxx.xxx.xxx,  nmap -rR xxx.xxx.xxx.xxx or nmap -A -v xxx.xxx.xxx.xxx to the snort machine it will not generated any alerts!!! but when i enable the "logfile { pscan1.log }" I will get an out put to the pscan1.log in the /var.log/snort/pscan1.log...But until now i saw it working with only the nmap -sS commando. So my question is what am i doing wrong. And on other thing i don`t get it is, is there an dynamic predecessor library for the port-scan?? This couldn't be it because it will not generate a portscan alert in the pscan1.log...</div>


<div><br></div><div>here are the results of the config:</div><div><b>snort.conf:</b></div><div><div># Setup the network addresses you are protecting</div><div>ipvar HOME_NET xxx.xxx.xxx.xxx/22</div><div># Set up the external network addresses. Leave as "any" in most situations</div>


<div>ipvar EXTERNAL_NET !$HOME_NET</div></div><div><br></div><div><div># Portscan detection.  For more information, see README.sfportscan</div><div>preprocessor sfportscan: proto  { all } \</div><div>                         scan_type { all } \</div>


<div>                         sense_level { high }</div><div>                         #logfile { pscan1.log }</div></div><div><br></div><div><div>var RULE_PATH /etc/snort/rules</div><div>#var SO_RULE_PATH /etc/snort/rules/so_rules</div>


<div>#var PREPROC_RULE_PATH ../preproc_rules</div></div><div><br></div><div><div># path to dynamic preprocessor libraries</div><div>dynamicpreprocessor directory /usr/lib64/snort-2.9.5.5_dynamicpreprocessor/</div><div># path to base preprocessor engine</div>


<div>dynamicengine /usr/lib64/snort-2.9.5.5_dynamicengine/libsf_engine.so</div><div># path to dynamic rules libraries</div><div>#dynamicdetection directory /usr/local/lib/snort_dynamicrules</div></div><div><br></div><div>


<div># Inline packet normalization. For more information, see README.normalize</div><div># Does nothing in IDS mode</div><div>preprocessor normalize_ip4</div><div>preprocessor normalize_tcp: ips ecn stream</div><div>preprocessor normalize_icmp4</div>


<div>preprocessor normalize_ip6</div><div>preprocessor normalize_icmp6</div><div><br></div></div><div> # unified2</div><div>output unified2: filename snort-unified2.log, limit 128</div><div># syslog</div><div># output alert_syslog: LOG_ALERT</div>


<div># pcap</div><div># output log_tcpdump: tcpdump.log</div><div><br></div><div># metadata reference data.  do not modify these lines</div><div>include classification.config</div><div>include reference.config</div><div>

<br>
</div><div><div>include $RULE_PATH/test.rules</div><div>include $RULE_PATH/local.rules</div><div>include $RULE_PATH/scan.rules</div></div><div><div>include $RULE_PATH/server-mssql.rules</div><div>include $RULE_PATH/server-mysql.rule</div>


</div><div><br></div><div><div># decoder and preprocessor event rules</div><div># include $PREPROC_RULE_PATH/preprocessor.rules</div><div># include $PREPROC_RULE_PATH/decoder.rules</div><div># include $PREPROC_RULE_PATH/sensitive-data.rules</div>


</div><div><div>include threshold.conf</div></div><div><br></div><div><b>/etc/sysconfig/snort</b></div><div>INTERFACE=eth1</div><div>CONF=/etc/snort/snort.confCONF=/etc/snort/snort.conf<br></div><div># ALERTMODE=fastq</div>


<div># BINARY_LOG=1<br></div><div><br></div><div><b>start snort + barnyard</b></div><div>/etc/init.d/snortd start</div><div><br></div><div><b>output /var/log/message</b></div><div><div>Detection:</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:    Search-Method = AC-Full-Q</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]:     Split Any/Any group = enabled</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:     Search-Method-Optimizations = enabled</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:     Maximum pattern length = 20</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: Tagged Packet Limit: 256</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: Loading dynamic engine /usr/lib64/snort-2.9.5.5_dynamicengine/libsf_engine.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: Loading all dynamic preprocessor libs from /usr/lib64/snort-2.9.5.5_dynamicpreprocessor/...</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_gtp_preproc.so... </div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_ftptelnet_preproc.so... </div><div>

Nov 26 11:16:30 NFS1-1 snort[11083]: done</div>
<div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_sdf_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_smtp_preproc.so... </div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_dce2_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_dns_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_ssh_preproc.so... </div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_reputation_preproc.so... </div><div>


Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_pop_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_dnp3_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_sip_preproc.so... </div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_imap_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_modbus_preproc.so... </div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Loading dynamic preprocessor library /usr/lib64/snort-2.9.5.5_dynamicpreprocessor//libsf_ssl_preproc.so... </div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: done</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]:   Finished Loading all dynamic preprocessor libs from /usr/lib64/snort-2.9.5.5_dynamicpreprocessor/</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: Log directory = /var/log/snort</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: WARNING: ip4 normalizations disabled because not inline.</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: WARNING: tcp normalizations disabled because not inline.</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: WARNING: icmp4 normalizations disabled because not inline.</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11083]: WARNING: ip6 normalizations disabled because not inline.</div><div>Nov 26 11:16:30 NFS1-1 snort[11083]: WARNING: icmp6 normalizations disabled because not inline.</div></div><div>


<br></div><div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Daemon initialized, signaled parent pid: 11083</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Reload thread starting...</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Reload thread started, thread 0x7fb89afd5700 (11086)</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11084]: Decoding Ethernet</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Checking PID path...</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: PID path stat checked out ok, PID path set to /var/run/</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11084]: Writing PID "11084" to file "/var/run//snort_eth1.pid"</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Set gid to 500</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Set uid to 500</div>


<div>Nov 26 11:16:30 NFS1-1 snort[11084]: </div><div>Nov 26 11:16:30 NFS1-1 snort[11084]:         --== Initialization Complete ==--</div><div>Nov 26 11:16:30 NFS1-1 snort[11084]: Commencing packet processing (pid=11084)</div>


<div>Nov 26 11:16:31 NFS1-1 barnyard2[7020]: Closing spool file '/var/log/snort/snort-unified2.log.1385467902'. Read 0 records</div><div>Nov 26 11:16:31 NFS1-1 barnyard2[7020]: Opened spool file '/var/log/snort/snort-unified2.log.1385468190'</div>


<div>Nov 26 11:16:31 NFS1-1 barnyard2[7020]: Waiting for new data</div></div></div><div><br></div><div>kind regards </div><span class="HOEnZb"><font color="#888888">-- <br><div dir="ltr">Mustafa Karci</div>
</font></span></div>
<br>------------------------------------------------------------------------------<br>
Rapidly troubleshoot problems before they affect your business. Most IT<br>
organizations don't have a clear picture of how application performance<br>
affects their revenue. With AppDynamics, you get 100% visibility into your<br>
Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349351&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349351&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>


Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br><br clear="all"><br>-- <br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://spookerlabs.blogspot.com" target="_blank">http://spookerlabs.blogspot.com</a><br>

<a href="http://www.twitter.com/spookerlabs" target="_blank">http://www.twitter.com/spookerlabs</a><br><a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>
</div>