<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] Database Plugin - Alert vs. Log</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Always an option, but then again, that's what the portscan plugin is for.  Why reinvent the wheel?  Better have the portscan plugin normalized to produce consistent output.  </FONT></P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Frank Knobbe [<A HREF="mailto:fknobbe@...652...">mailto:fknobbe@...652...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Wednesday, November 27, 2002 7:34 PM</FONT>
<BR><FONT SIZE=2>To: L. Christopher Luther</FONT>
<BR><FONT SIZE=2>Cc: 'Erek Adams'; Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: [Snort-users] Database Plugin - Alert vs. Log</FONT>
</P>
<BR>

<P><FONT SIZE=2>On Wed, 2002-11-27 at 17:04, L. Christopher Luther wrote:</FONT>
<BR><FONT SIZE=2>> When o when will the portscan data be normalized so that it can</FONT>
<BR><FONT SIZE=2>> cleanly be put into a database?!  Sigh...  </FONT>
</P>

<P><FONT SIZE=2>Why don't you write some Snort rules that detect portscans? Create rules</FONT>
<BR><FONT SIZE=2>that fire when unused IP's are accessed, and/or when used ports (on used</FONT>
<BR><FONT SIZE=2>IP's) are accessed. That way you have the scan in a normal format in the</FONT>
<BR><FONT SIZE=2>database.</FONT>
</P>

<P><FONT SIZE=2>Frank</FONT>
</P>

</BODY>
</HTML>