[Snort-users] Flow-portscan

Jochen Vogel jvogel at ...8466...
Tue May 11 05:35:11 EDT 2004


Hi,

Im using snortinline-2.1.0 and try to get portscan messages.
If i use as output msg i get nothing
If i use as output pktkludge i get an unattravtive output
If i use as output pktkludge with barnyard i get an unattravtive output with
wrong Ips.

Any comments?
Thx for help
jo


---snort------------------
snort -c snort.conf -i br0 -Q -de -A none

---portscan-config----------
preprocessor flow-portscan: server-watchnet [192.168.0.0/24] tcp-penalties
on server-learning-time 3600 server-scanner-limit 50 alert-mode all
output-mode msg

----output-mode-msg---------------
If i use msg as output-mode i get nothing

----output-mode-pktkludge---------------
If i us pktkludge as output-mode a get a file PROTO255
With following content
 
[**] Portscan detected from 192.168.0.40 Talker(fixed: 15 sliding: 15)
Scanner(fixed: 0 sliding: 0) [**]
05/11-14:12:51.000000 192.168.0.40 -> 192.168.0.143 PROTO255 TTL:0 TOS:0x10
ID:0 IpLen:20 DgmLen:507
41 64 64 72 65 73 73 3A 20 31 39 32 2E 31 36 38  Address: 192.168
2E 30 2E 34 30 0A 41 54 5F 53 43 4F 52 45 3A 20  .0.40.AT_SCORE: 
31 35 0A 53 54 5F 53 43 4F 52 45 3A 20 31 35 0A  15.ST_SCORE: 15.
41 53 5F 53 43 4F 52 45 3A 20 30 0A 53 53 5F 53  AS_SCORE: 0.SS_S
43 4F 52 45 3A 20 30 0A 54 6F 74 61 6C 20 43 6F  CORE: 0.Total Co
6E 6E 65 63 74 69 6F 6E 73 3A 20 31 35 0A 53 63  nnections: 15.Sc
61 6E 46 6C 61 67 73 3A 20 30 78 31 0A 41 54 5F  anFlags: 0x1.AT_
53 54 41 52 54 45 4E 44 3A 20 31 30 38 34 32 37  STARTEND: 108427
37 35 37 31 20 31 30 38 34 32 37 37 36 30 31 0A  7571 1084277601.
53 54 5F 53 54 41 52 54 45 4E 44 3A 20 31 30 38  ST_STARTEND: 108
34 32 37 37 35 37 31 20 31 30 38 34 32 37 37 36  4277571 10842776
30 31 0A 41 53 5F 53 54 41 52 54 45 4E 44 3A 20  01.AS_STARTEND: 
31 30 38 34 32 37 37 35 37 31 20 31 30 38 34 32  1084277571 10842
37 37 35 38 36 0A 53 53 5F 53 54 41 52 54 45 4E  77586.SS_STARTEN
44 3A 20 31 30 38 34 32 37 37 35 37 31 20 31 30  D: 1084277571 10
38 34 32 37 37 35 39 31 0A 52 45 46 5F 53 45 43  84277591.REF_SEC
3A 20 20 20 30 0A 52 45 46 5F 45 56 45 4E 54 3A  :   0.REF_EVENT:
20 30 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A   0.ConnInfo: (6:
31 39 32 2E 31 36 38 2E 30 2E 31 34 33 3A 32 33  192.168.0.143:23
30 31 20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E  01 Flags: 2).Con
6E 49 6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36  nInfo: (6:192.16
38 2E 30 2E 31 34 33 3A 33 30 38 32 31 20 46 6C  8.0.143:30821 Fl
61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49 6E 66 6F  ags: 2).ConnInfo
3A 20 28 36 3A 31 39 32 2E 31 36 38 2E 30 2E 31  : (6:192.168.0.1
34 33 3A 34 36 35 20 46 6C 61 67 73 3A 20 32 29  43:465 Flags: 2)
0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39  .ConnInfo: (6:19
32 2E 31 36 38 2E 30 2E 31 34 33 3A 32 30 30 33  2.168.0.143:2003
34 20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E  4 Flags: 2).Conn
49 6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38  Info: (6:192.168
2E 30 2E 31 34 33 3A 31 30 30 30 30 20 46 6C 61  .0.143:10000 Fla
67 73 3A 20 32 29 0A                             gs: 2).


----pktkludge-barnyard-------------------------------------------
If i use pktkludge as output-mode and use barnyard i get

[**] [121:3:1] <span class="prep_text"> prep </span>
flow-portscan: Fixed Scale Talker Limit Exceed
ed [**]
[Classification: Not Suspicious Traffic] [Priority: 2]
Event ID: 9     Event Reference: 9
05/19/18-12:12:19.1161512052 8.0.69.16 -> 1.250.0.0
PROTO068 TTL:67 TOS:0x41 ID:16708 IpLen:52 DgmLen:17220 RB DF
IP Options (1) => EOL 
Frag Offset: 0xD41   Frag Size: 0x1D4
2E 34 30 0A 41 54 5F 53 43 4F 52 45 3A 20 31 35  .40.AT_SCORE: 15
0A 53 54 5F 53 43 4F 52 45 3A 20 31 35 0A 41 53  .ST_SCORE: 15.AS
5F 53 43 4F 52 45 3A 20 30 0A 53 53 5F 53 43 4F  _SCORE: 0.SS_SCO
52 45 3A 20 30 0A 54 6F 74 61 6C 20 43 6F 6E 6E  RE: 0.Total Conn
65 63 74 69 6F 6E 73 3A 20 31 35 0A 53 63 61 6E  ections: 15.Scan
46 6C 61 67 73 3A 20 30 78 31 0A 41 54 5F 53 54  Flags: 0x1.AT_ST
41 52 54 45 4E 44 3A 20 31 30 38 34 32 37 38 33  ARTEND: 10842783
39 31 20 31 30 38 34 32 37 38 34 32 31 0A 53 54  91 1084278421.ST
5F 53 54 41 52 54 45 4E 44 3A 20 31 30 38 34 32  _STARTEND: 10842
37 38 33 39 31 20 31 30 38 34 32 37 38 34 32 31  78391 1084278421
0A 41 53 5F 53 54 41 52 54 45 4E 44 3A 20 31 30  .AS_STARTEND: 10
38 34 32 37 38 33 39 31 20 31 30 38 34 32 37 38  84278391 1084278
34 30 36 0A 53 53 5F 53 54 41 52 54 45 4E 44 3A  406.SS_STARTEND:
20 31 30 38 34 32 37 38 33 39 31 20 31 30 38 34   1084278391 1084
32 37 38 34 31 31 0A 52 45 46 5F 53 45 43 3A 20  278411.REF_SEC: 
20 20 30 0A 52 45 46 5F 45 56 45 4E 54 3A 20 30    0.REF_EVENT: 0
0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39  .ConnInfo: (6:19
32 2E 31 36 38 2E 30 2E 31 34 33 3A 34 33 32 31  2.168.0.143:4321
20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49   Flags: 2).ConnI
6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38 2E  nfo: (6:192.168.
30 2E 31 34 33 3A 37 30 37 30 20 46 6C 61 67 73  0.143:7070 Flags
3A 20 32 29 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28  : 2).ConnInfo: (
36 3A 31 39 32 2E 31 36 38 2E 30 2E 31 34 33 3A  6:192.168.0.143:
33 32 37 36 38 20 46 6C 61 67 73 3A 20 32 29 0A  32768 Flags: 2).
43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39 32  ConnInfo: (6:192
2E 31 36 38 2E 30 2E 31 34 33 3A 36 36 36 36 20  .168.0.143:6666 
46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49 6E  Flags: 2).ConnIn
66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38 2E 30  fo: (6:192.168.0
2E 31 34 33 3A 31 30 38 30 20 46 6C 61 67 73 3A  .143:1080 Flags:
20 32 29 0A                                       2).









More information about the Snort-users mailing list