<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2650.12">
<TITLE>RE: [Snort-users] New to snort...what do these mean???</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>> >> how can i tell which port they are scanning</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> This basic concept of a portscan is this: an attacker scans a </FONT>
<BR><FONT SIZE=2>> wide range of</FONT>
<BR><FONT SIZE=2>> ports on your computer</FONT>
<BR><FONT SIZE=2>> to determine which ones are open. Thus there is no one port they are</FONT>
<BR><FONT SIZE=2>> scanning. If you want to know</FONT>
<BR><FONT SIZE=2>> what RANGE of ports they are scanning, take a look at the </FONT>
<BR><FONT SIZE=2>> various alerts in</FONT>
<BR><FONT SIZE=2>> /var/log/snort/<attacking.ip>.</FONT>
<BR><FONT SIZE=2>> That should give you some idea (replace <attacking.ip> with </FONT>
<BR><FONT SIZE=2>> the IP address</FONT>
<BR><FONT SIZE=2>> of the person who is scanning</FONT>
<BR><FONT SIZE=2>> you).</FONT>
<BR><FONT SIZE=2>Portscans picked up by the preprocessor don't log to the %logdir%/%ipaddy%.  They log to the snort.portscan file in your alert dir.</FONT></P>

</BODY>
</HTML>