<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4134.600" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>Greetings,<BR><BR>Ever since we've been running snort, we are constantly 
getting weird stealth<BR>packets from aol that are picked up by the spp_portscan 
plugin.  The<BR>following is an excerpt from one instance:<BR><BR>Alert 
log:<BR>[**] spp_portscan: PORTSCAN DETECTED from 205.188.x.x (STEALTH) 
[**]<BR>[**] spp_portscan: portscan status from 205.188.x.x: 3 connections 
across 1 hosts: TCP(3) UDP(0) STEALTH [**]<BR>[**] spp_portscan: End of portscan 
from 205.188.x.x: TOTAL time(2s) hosts(1) TCP(3) UDP(0) STEALTH 
[**]<BR><BR>Portscan.log:<BR>Aug  9 10:10:18 205.188.x.x:80 -> 
our.sub.net.xxx UNKNOWN *1**R*** RESERVEDBITS<BR>Aug  9 10:10:18 
205.188.x.x:80 -> our.sub.net.xxx UNKNOWN *1**R*** RESERVEDBITS<BR>Aug  
9 10:10:20 205.188.x.x:80 -> our.sub.net.xxx UNKNOWN *1**R*** 
RESERVEDBITS<BR><BR>They come from different AOL IP's and go to many different 
IP's on our net.<BR>We've tried to talk to AOL about it, but they just say it's 
normal traffic.<BR>Yeah right.<BR><BR>We can't seem to get the spp_portscan 
plugin to ignore it, as the packets are<BR>stealth.  Anyone else see this 
sort of traffic?  Any ideas on how to keep it<BR>from being 
logged?<BR><BR>TIA,<BR>Thayne<BR></DIV></BODY></HTML>