<div dir="ltr">Hi again, <div><br></div><div><br></div><div>previous  e-mail   :</div><div><a href="http://sourceforge.net/mailarchive/forum.php?thread_name=CAAy-Hj0mPr75kvOUPeQdKX9iFBRvsRzmCSkNkmY96BTBXWJ1uQ%40mail.gmail.com&forum_name=snort-devel">http://sourceforge.net/mailarchive/forum.php?thread_name=CAAy-Hj0mPr75kvOUPeQdKX9iFBRvsRzmCSkNkmY96BTBXWJ1uQ%40mail.gmail.com&forum_name=snort-devel</a></div>
<div><br></div><div>Now the preprocessor fsprotscan working. Im getting alerts when doing a </div><div>nmap -rR xxx.xxx.xxx.xxx</div><div><br></div><div>But the issue is this works only the first time..Doing this a second time in a time stack of 60 second the nmap -rR xxx.xxx.xxx.xxx is not taking. So no ALERT is generated.</div>
<div><br></div><div>I did a tcpdump -n -i eth1 -n port 2222 </div><div><div><br></div><div>output:</div><div><div>12:13:39.619265 IP xxx.xxx.xxx.xxx.34114 > xxx.xxx.xxx.xxx.2222: Flags [S], seq 453473608, win 4096, options [mss 1460], length 0</div>
<div>12:13:39.619270 IP xxx.xxx.xxx.xxx.2222 > xxx.xxx.xxx.xxx.34114: Flags [R.], seq 0, ack 453473609, win 0, length 0</div><div><br></div><div>12:13:44.316553 IP xxx.xxx.xxx.xxx.49858 > xxx.xxx.xxx.xxx.2222: Flags [S], seq 2268075276, win 1024, options [mss 1460], length 0</div>
<div>12:13:44.316557 IP xxx.xxx.xxx.xxx.2222 > xxx.xxx.xxx.xxx.49858: Flags [R.], seq 0, ack 2268075277, win 0, length 0</div></div><div><br></div><div>so doing a nmap the traffic is shown by tcpdump. But there is still no alert...</div>
<div><br></div><div>The  Global Threshold is saying:  Limit to logging 1 event per 60 seconds per IP triggering... so i try to change this to every second</div><div><b>threshold.conf</b></div><div><div>event_filter gen_id 0, sig_id 0, type limit, track by_src, count 1, seconds 1</div>
<div>event_filter gen_id 1, sig_id 0, type limit, track by_src, count 1, seconds 1</div></div><div><br></div><div>Doing this still had no effect. Also i tried to add count and second to the preprocessor.rule </div><div>alert ( msg: "PSNG_TCP_PORTSCAN"; sid: 1; gid: 122; rev: 1; detection_filter:track by_src, count 1, seconds 1; metadata: rule-type preproc ; classtype:attempted-recon; )<br>
</div><div><br></div><div><b>here is the snort.conf:</b></div><div><div><div><div><div>ipvar HOME_NET xxx.xxx.xxx.xxx/22</div><div>ipvar EXTERNAL_NET !$HOME_NET</div></div><div><br></div><div><div><div>var RULE_PATH /etc/snort/rules</div>
<div>#var SO_RULE_PATH ../so_rules</div><div>var PREPROC_RULE_PATH /etc/snort/rules</div></div><div><br></div><div>config disable_decode_alerts</div><div>config disable_tcpopt_experimental_alerts</div><div>config disable_tcpopt_obsolete_alerts</div>
<div>config disable_tcpopt_ttcp_alerts</div><div>config disable_tcpopt_alerts</div><div>config disable_ipopt_alerts</div><div># config enable_decode_oversized_alerts</div><div># config enable_decode_oversized_drops</div><div>
config checksum_mode: all</div></div><div><br></div><div><div># Configure PCRE match limitations</div><div>config pcre_match_limit: 3500</div><div>config pcre_match_limit_recursion: 1500</div><div><br></div><div># Configure the detection engine  See the Snort Manual, Configuring Snort - Includes - Config</div>
<div>config detection: search-method ac-split search-optimize max-pattern-len 20</div><div><br></div><div># Configure the event queue.  For more information, see README.event_queue</div><div>config event_queue: max_queue 8 log 5 order_events content_length</div>
</div><div><br></div><div># Per Packet latency configuration<br></div><div>#config ppm: max-pkt-time 250, \</div><div>#   fastpath-expensive-packets, \</div><div>#   pkt-log</div><div><br></div><div># Per Rule latency configuration</div>
<div>#config ppm: max-rule-time 200, \</div><div>#   threshold 3, \</div><div>#   suspend-expensive-rules, \</div><div>#   suspend-timeout 20, \</div><div>#   rule-log alert</div></div><div><br></div><div><br></div><div><div>
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/</div><div>dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so</div></div><div><br></div><div><div>preprocessor sfportscan: proto  { all } \</div>
<div>                         scan_type { all } \</div><div>                         memcap { 10000000 } \</div><div>                         detect_ack_scans \</div><div>                         sense_level { high }</div>
</div><div><br></div><div>output unified2: filename snort-unified2.log, limit 128</div><div>output alert_syslog: LOG_AUTH LOG_ALERT<br></div></div><div><br></div><div>include classification.config</div><div>include reference.config</div>
</div><div><br></div><div><div>include $RULE_PATH/local.rules</div><div>include $RULE_PATH/jss.rules</div></div><div><div>include $RULE_PATH/backdoor.rules</div><div>include $RULE_PATH/bad-traffic.rules</div></div><div>include $RULE_PATH/ddos.rules<br>
</div><div><div>include $RULE_PATH/dos.rules</div></div><div><div>include $RULE_PATH/mysql.rules</div></div><div><div>include $RULE_PATH/scan.rules</div></div><div><br></div><div>include $PREPROC_RULE_PATH/preprocessor.rules<br>
</div><div><div>include threshold.conf</div></div><div><br></div><div>So in my opinion snort is not alerting, because for some reason the sort is generating the same alert in some period of time..??? Or is this wrong...because the nmap -rR is not generating the alert because it is not getting to the point where the Portscan Alert has to generate...</div>
<div><br></div><div>kind regards </div><div><br></div>-- <br><div dir="ltr">Mustafa Karci</div>
</div></div>