<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2800.1226" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Here is a sample of what I reported before as a false positive</DIV>
<DIV> </DIV>
<DIV>
<HR>
 <INPUT type=hidden value=#0-(1-185) name=action_chk_lst[0]> 
<TABLE border=1>
<TBODY>
<TR>
<TD class=metatitle align=middle width=50 rowSpan=3>Meta 
<TD>
<TABLE cellPadding=4 border=1>
<TBODY>
<TR>
<TD class=plfieldhdr>ID #</TD>
<TD class=plfieldhdr>Time</TD>
<TD class=plfieldhdr>Triggered Signature</TD></TR>
<TR>
<TD class=plfield>1 - 185</TD>
<TD class=plfield>2004-03-12 23:48:06</TD>
<TD class=plfield>url<FONT size=-1>[<A href="http://www.securityfocus.com/bid/9407" target=_ACID_ALERT_DESC>bugtraq</A>]</FONT><FONT size=-1>[<A href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0903" target=_ACID_ALERT_DESC>cve</A>]</FONT><FONT size=-1>[<A href="http://icat.nist.gov/icat.cfm?cvename=CAN-2003-0903" target=_ACID_ALERT_DESC>icat</A>]</FONT><FONT size=-1>[<A href="http://www.snort.org/snort-db/sid.html?sid=2329" target=_ACID_ALERT_DESC>snort</A>]</FONT> MS-SQL probe response overflow attempt</TD></TR></TBODY></TABLE></TD></TR>
<TR>
<TD>
<TABLE cellPadding=4 border=1>
<TBODY>
<TR>
<TD class=metatitle align=middle rowSpan=2>Sensor</TD>
<TD class=plfieldhdr>name</TD>
<TD class=plfieldhdr>interface</TD>
<TD class=plfieldhdr>filter</TD></TR>
<TR>
<TD class=plfield>WSVM1006:DeviceNPF_{96D8CB44-417E-4CE2-972C-2A38F26C9561}</TD>
<TD class=plfield>DeviceNPF_{96D8CB44-417E-4CE2-972C-2A38F26C9561}</TD>
<TD class=plfield> <I>none</I> </TD></TR></TBODY></TABLE></TD>
<TR>
<TD>
<TABLE cellPadding=4 border=1>
<TBODY>
<TR>
<TD class=metatitle align=middle>Alert<BR>Group</TD>
<TD>  <I>none</I> </TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
<TABLE border=1>
<TBODY>
<TR>
<TD class=iptitle align=middle width=50 rowSpan=3>IP 
<TD>
<TABLE cellPadding=2 border=1>
<TBODY>
<TR>
<TD class=plfieldhdr>source addr</TD>
<TD class=plfieldhdr>  dest addr  </TD>
<TD class=plfieldhdr>Ver</TD>
<TD class=plfieldhdr>Hdr Len</TD>
<TD class=plfieldhdr>TOS</TD>
<TD class=plfieldhdr>length</TD>
<TD class=plfieldhdr>ID</TD>
<TD class=plfieldhdr>flags</TD>
<TD class=plfieldhdr>offset</TD>
<TD class=plfieldhdr>TTL</TD>
<TD class=plfieldhdr>chksum</TD></TR>
<TR>
<TD class=plfield><A href="http://141.214.154.96:8877/acid/acid_stat_ipaddr.php?ip=172.20.1.252&netmask=32">172.20.1.252</A></TD>
<TD class=plfield><A href="http://141.214.154.96:8877/acid/acid_stat_ipaddr.php?ip=141.214.154.96&netmask=32">141.214.154.96</A></TD>
<TD class=plfield>4</TD>
<TD class=plfield>5</TD>
<TD class=plfield>0</TD>
<TD class=plfield>87</TD>
<TD class=plfield>7217</TD>
<TD class=plfield>0</TD>
<TD class=plfield>0</TD>
<TD class=plfield>126</TD>
<TD class=plfield>18974</TD></TR></TBODY></TABLE>
<TR>
<TD>
<TABLE cellPadding=4 border=1>
<TBODY>
<TR>
<TD class=iptitle align=middle rowSpan=2>FQDN</TD>
<TD class=plfieldhdr>Source Name</TD>
<TD class=plfieldhdr>Dest. Name</TD></TR>
<TR>
<TD class=plfield>s-umhs-dns3.med.umich.edu</TD>
<TD class=plfield>WSVM1006.umhs.med.umich.edu</TD></TR></TBODY></TABLE></TD>
<TR>
<TD>
<TABLE cellPadding=4 border=1>
<TBODY>
<TR>
<TD class=iptitle align=middle>Options</TD>
<TD>    <I>none </I></TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
<TABLE border=1>
<TBODY>
<TR>
<TD class=layer4title align=middle width=50 rowSpan=2>UDP</TD>
<TD>
<TABLE cellPadding=2 border=1>
<TBODY>
<TR>
<TD class=plfieldhdr>source port</TD>
<TD class=plfieldhdr>dest port</TD>
<TD class=plfieldhdr>length</TD></TR>
<TR>
<TD class=plfield><A href="http://www.snort.org/ports.html?port=53" target=_ACID_PORT_>53</A></TD>
<TD class=plfield><A href="http://www.snort.org/ports.html?port=1027" target=_ACID_PORT_>1027</A></TD>
<TD class=plfield>67</TD></TR></TBODY></TABLE></TD></TR></TBODY></TABLE>
<TABLE border=1>
<TBODY>
<TR>
<TD class=payloadtitle align=middle width=50 rowSpan=2>Payload 
<TD><PRE> length = 59

000 : 05 C4 81 80 00 01 00 01 00 00 00 00 06 75 6D 68   .............umh
010 : 73 30 31 04 75 6D 68 73 03 6D 65 64 05 75 6D 69   s01.umhs.med.umi
020 : 63 68 03 65 64 75 00 00 01 00 01 C0 0C 00 01 00   ch.edu..........
030 : 01 00 00 0D 3B 00 04 AC 14 5C BC                  ....;....\.
</PRE></TD></TR></TBODY></TABLE><BR><BR>>>> Jonathon Leszczynski 9:16:22 AM 09-Mar-04 >>><BR></DIV>
<DIV style="FONT: 10pt Tahoma; COLOR: #000000"><PRE> </PRE><PRE>Jonathon Leszczynski<BR>MCIT 734-764-5725<BR><A href="mailto:JonaLesz@...2331......">JonaLesz@...2309...</A><BR># This is a template for submitting snort signature descriptions to
# the snort.org website
#
# Ensure that your descriptions are your own
# and not the work of others.  References in the rules themselves
# should be used for linking to other's work. 
#
# If you are unsure of some part of a rule, use that as a commentary
# and someone else perhaps will be able to fix it.

# $Id$
#
#  
Rule:  

--
Sid: 2329 

--
Summary: (as already written)</PRE><PRE>--
Impact: Serious. (as already written)</PRE><PRE>--
Detailed Information: (as already written)

--
Affected Systems: (as already written)

--
Attack Scenarios: (as already written)

--
Ease of Attack: (as already written)

--
False Positives:  When using ACID, and when ACID does it's reverse lookups (easier to replicate when many reverse lookups are occuring.), the returned information appears to SNORT to be this kind of attack.</PRE><PRE>  When the network is busy, I have been able to replicate this at will.  The source IP will show up as coming from UDP port 53 from the DNS in making the "attack".

--
False Negatives: (as already written)

--
Corrective Action: (as already written)

--
Contributors: (as already written) plus Jon Leszczynski

-- 
Additional References: (as already written)</PRE><PRE></PRE><PRE>Jonathon Leszczynski<BR>MCIT 734-764-5725<BR><A href="mailto:JonaLesz@...2309...">JonaLesz@...2309...</A><BR></PRE></DIV></BODY></HTML>