<div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">Hello everyone </span></div><div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">i am using below rule to detect ftp brute force attack. </span></div>
<div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)"> </span></div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">alert tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"ET SCAN Potential FTP Brute-Force attempt"; </span><div>
<span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">flow:from_server,established; content:"530 "; pcre:"/530\s+(Login|User|Failed|Not)/smi"; classtype:unsuccessful-user; </span><div>
<span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">threshold: type threshold, track by_dst, count 5, seconds 60; sid:2002383; rev:10;)</span></div>
<div><font color="#666666" face="monospace"><span style="font-size:11px;line-height:16px;white-space:nowrap"><br></span></font></div><div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">it is working properly.but when i check generated log file using u2spewfoo it shows source of attack as destination and destination of </span></div>
<div><span style="color:rgb(102,102,102);font-family:monospace;font-size:11px;line-height:16px;white-space:nowrap;background-color:rgb(255,255,255)">attack as a source(means it shows attacker as a target).i also know why </span><span style="font-size:11px;line-height:16px;white-space:nowrap;color:rgb(102,102,102);font-family:monospace">it is happening because "530 login incorrect" message generated by FTP server. </span></div>
<div><span style="font-size:11px;line-height:16px;white-space:nowrap;color:rgb(102,102,102);font-family:monospace">I just want to know there is any way so that i got a generated log which shows actual source and destination o</span><font color="#666666" face="monospace"><span style="font-size:11px;line-height:16px;white-space:nowrap">f attack.</span></font></div>
<div>-- <br><br></div><div>Warm Regards<br>Sumit Kumar<br>Guru Nanak Dev University, Amritsar<br>Mo:- 8968227299<br><br>
</div></div>