<br><font size=2 face="sans-serif">just a thought, but if these are internal
servers triggering this alert, you might want to fine tune your $EXTERNAL_NET
variable...</font>
<br><font size=2 face="sans-serif">it can really limit the amount of false
positives....</font>
<br>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>"Dan Thorson"
<dan.thorson@...2264...></b> </font>
<br><font size=1 face="sans-serif">Sent by: snort-sigs-admin@lists.sourceforge.net</font>
<p><font size=1 face="sans-serif">02/20/2004 04:28 PM</font>
<td width=59%>
<table width=100%>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td valign=top><font size=1 face="sans-serif"><snort-sigs@lists.sourceforge.net></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td valign=top><font size=1 face="sans-serif"><dan.thorson@...2264...></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td valign=top><font size=1 face="sans-serif">[Snort-sigs] Reporting false
positive for Snort rule</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=3 face="Arial"># This is a template for submitting snort
signature descriptions to<br>
# the snort.org website<br>
#<br>
# Ensure that your descriptions are your own<br>
# and not the work of others.  References in the rules themselves<br>
# should be used for linking to other's work. <br>
#<br>
# If you are unsure of some part of a rule, use that as a commentary<br>
# and someone else perhaps will be able to fix it.<br>
# <br>
# $Id$<br>
#<br>
# <br>
<br>
Rule:  <br>
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"BAD-TRAFFIC
data in TCP SYN packet"; flags:S,12; dsize:>6; reference:url,www.cert.org/incident_notes/IN-99-07.html;
sid:526;  classtype:misc-activity; rev:6;)<br>
<br>
--<br>
Sid:<br>
526<br>
--<br>
Summary:<br>
Reporting a potential false positive<br>
--<br>
Impact:<br>
<br>
--<br>
Detailed Information:<br>
<br>
--<br>
Affected Systems:<br>
<br>
--<br>
Attack Scenarios:<br>
<br>
--<br>
Ease of Attack:<br>
<br>
--<br>
False Positives:<br>
I am seeing a significant # of hits on this rule, always from a NetWare
server running "DS Expert", sending to another NetWare server
(being monitored by DSExpert).  This may be due to DSExpert being
an older copy, but thought you'd want to know.  Here's the TCP data.
 Destination port is always 524, with SYN set.</font>
<br><font size=3 face="Arial">000 : 74 4E 63 50 00 00 00 0F 11 11 00 FF
00 FF 00      tNcP...........<br>
<br>
--<br>
False Negatives:<br>
<br>
--<br>
Corrective Action:<br>
<br>
--<br>
Contributors:<br>
<br>
-- <br>
Additional References</font>
<br>