<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1226" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma"><PRE># This is a template for submitting snort signature descriptions to
# the snort.org website
#
# Ensure that your descriptions are your own
# and not the work of others.  References in the rules themselves
# should be used for linking to other's work. 
#
# If you are unsure of some part of a rule, use that as a commentary
# and someone else perhaps will be able to fix it.

# $Id$
#
#  
Rule:  

--
Sid: 2329 

--
Summary: (as already written)</PRE><PRE>--
Impact: Serious. (as already written)</PRE><PRE>--
Detailed Information: (as already written)

--
Affected Systems: (as already written)

--
Attack Scenarios: (as already written)

--
Ease of Attack: (as already written)

--
False Positives:  When using ACID, and when ACID does it's reverse lookups (easier to replicate when many reverse lookups are occuring.), the returned information appears to SNORT to be this kind of attack.</PRE><PRE>  When the network is busy, I have been able to replicate this at will.  The source IP will show up as coming from UDP port 53 from the DNS in making the "attack".

--
False Negatives: (as already written)

--
Corrective Action: (as already written)

--
Contributors: (as already written) plus Jon Leszczynski

-- 
Additional References: (as already written)</PRE><PRE>
</PRE><PRE>Jonathon Leszczynski<BR>MCIT 734-764-5725<BR><A href="mailto:JonaLesz@...2309...">JonaLesz@...2309...</A><BR></PRE></BODY></HTML>