<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-7">
<META content="MSHTML 6.00.2600.0" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Hi!</FONT></DIV>
<DIV><FONT face=Arial size=2>I run snort Version 1.8.3 (Build 88) in linux 7.2 
(2.4.17) which alert me for the udp portscans correctly (portscan.log, 
snort.fast,snort.full) </FONT></DIV>
<DIV><FONT face=Arial size=2>BUT when  i run snort Version 1.8.7 (Build 
128) in linux 7.3 (2.4.18-3) with </FONT><FONT face=Arial size=2>the same 
snort.conf and </FONT><FONT face=Arial size=2>a snort binary file as the 
input (-r), captured from 1.8.3, which had  alerted me about udp 
portscans),  </FONT><FONT face=Arial>snort <FONT size=2>1.8.7 </FONT>does 
not alert the udp portscans!!!</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Below is the snort.conf which i use for the 2 
sensors.</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT size=2>var HOME_NET any<BR>var EXTERNAL_NET any<BR>var SMTP_SERVERS 
$HOME_NET<BR>var HTTP_SERVERS $HOME_NET<BR>var SQL_SERVERS $HOME_NET<BR>var 
HTTP_PORTS any<BR></FONT><FONT size=2>preprocessor frag2<BR>preprocessor 
stream4: detect_scans<BR>preprocessor stream4_reassemble<BR>preprocessor 
http_decode: 80 -unicode -cginull<BR>preprocessor rpc_decode: 
111<BR>preprocessor telnet_decode<BR>preprocessor portscan: $HOME_NET 4 3 
portscan.log</FONT></DIV>
<DIV><FONT size=2>output log_tcpdump: snort.log<BR>output alert_full: 
snort_full<BR>output alert_fast: snort_fast</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>does anyone have an idea about what is 
wrong??</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV></BODY></HTML>