<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] many 'NETBIOS SMB SMB_COM_TRANSACTION Max Data Count of 0 DOS Attempt'</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>Have a look at <A HREF="http://www.snort.org/snort-db/sid.html?sid=2102" TARGET="_blank">http://www.snort.org/snort-db/sid.html?sid=2102</A></FONT>
</P>

<P><FONT SIZE=2>In particular, "This rule has been deprecated due to an inordinately large number of </FONT>
<BR><FONT SIZE=2>false positives. Rule 2101 has been modified to take this into account."</FONT>
</P>

<P><FONT SIZE=2>If your windows machines are properly patched (MS02-045), you will likely want to </FONT>
<BR><FONT SIZE=2>comment out this rule.</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Ciprian Badescu [<A HREF="mailto:ciprian.badescu@...9292...">mailto:ciprian.badescu@...9292...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Wednesday, June 11, 2003 1:01 AM</FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] many 'NETBIOS SMB SMB_COM_TRANSACTION Max Data</FONT>
<BR><FONT SIZE=2>Count of 0 DOS Attempt'</FONT>
</P>
<BR>

<P><FONT SIZE=2>Hi,</FONT>
</P>

<P><FONT SIZE=2>I've installed snort on a FreeBSD and a Windows 2000 sistems, and I have</FONT>
<BR><FONT SIZE=2>many messages like in sublect line.</FONT>
</P>

<P><FONT SIZE=2>The source addresses are all PC's from local network. Could be a false</FONT>
<BR><FONT SIZE=2>alarm?</FONT>
</P>

<P><FONT SIZE=2>thanks.</FONT>
</P>

<P><FONT SIZE=2>--</FONT>
<BR><FONT SIZE=2>Ciprian Badescu</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.net email is sponsored by:  Etnus, makers of TotalView, The best</FONT>
<BR><FONT SIZE=2>thread debugger on the planet. Designed with thread debugging features</FONT>
<BR><FONT SIZE=2>you've never dreamed of, try TotalView 6 free at www.etnus.com.</FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>