<br><font size=2 face="sans-serif">I don't think I changed this from the
default:</font>
<br>
<br><font size=2 face="sans-serif">        preprocessor
flow: stats_interval 0 hash 2</font>
<br>
<br><font size=2 face="sans-serif">'nmap -P0' triggers an alert without
exception.</font>
<br><font size=2 face="sans-serif"><br>
Todd Pratt<br>
Systems Security Certified Practitioner<br>
IT Security Administrator<br>
Harte Hanks, Inc.<br>
ph 978-436-3368<br>
tpratt@...11631...</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>"Kreimendahl, Chad
J" <Chad.Kreimendahl@...4716...></b> </font>
<br><font size=1 face="sans-serif">Sent by: snort-users-admin@lists.sourceforge.net</font>
<p><font size=1 face="sans-serif">04/13/2004 05:21 PM</font>
<td width=59%>
<table width=100%>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td valign=top><font size=1 face="sans-serif"><Todd_Pratt@...11631...>,
"Douglas McCrea" <dmccrea@...10965...></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td valign=top><font size=1 face="sans-serif">"Snort Users" <snort-users@lists.sourceforge.net></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td valign=top><font size=1 face="sans-serif">RE: [Snort-users] Flow-portscan
oddity</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2><tt>I haven't attempted the syslog method of alerting,
but I doubt that's<br>
it, being that their alerting method is centralized.  Have you generated<br>
alerts on your own and verified them?<br>
<br>
I've just attempted using your config with our setup, and again it did<br>
not see my scans (and no, they did not originate from $HOME_NET).<br>
What's your config for the flow preproc?<br>
<br>
________________________________<br>
<br>
From: Todd_Pratt@...11631... [mailto:Todd_Pratt@...11631...] <br>
Sent: Tuesday, April 13, 2004 2:02 PM<br>
To: Douglas McCrea<br>
Cc: Snort Users; snort-users-admin@lists.sourceforge.net<br>
Subject: RE: [Snort-users] Flow-portscan oddity<br>
<br>
<br>
<br>
flow-portscan works for me.  I get between 20 and 40 alerts per hour.<br>
The only output I use is syslog so I don't know if that makes a<br>
difference. <br>
<br>
Here's the line I use: <br>
<br>
        preprocessor flow-portscan: alert-mode once
src-ignore-net<br>
$HOME_NET <br>
<br>
I'm running 2.1.2 build 25 <br>
<br>
Todd Pratt<br>
Systems Security Certified Practitioner<br>
IT Security Administrator<br>
Harte Hanks, Inc.<br>
ph 978-436-3368<br>
tpratt@...11631... <br>
<br>
<br>
<br>
"Douglas McCrea" <dmccrea@...10965...> <br>
Sent by: snort-users-admin@lists.sourceforge.net <br>
<br>
04/13/2004 11:56 AM <br>
<br>
                
<br>
To<br>
                
"Kreimendahl, Chad J" <Chad.Kreimendahl@...4716...> <br>
cc<br>
                
"Snort Users" <snort-users@lists.sourceforge.net> <br>
Subject<br>
                
RE: [Snort-users] Flow-portscan oddity<br>
<br>
                
<br>
<br>
<br>
<br>
<br>
I've posted the same findings a few times to this list with little<br>
response. You can use Portscan2 until someone fixes this. I've never<br>
really gotten a satisfactory answer except, "yeah, it's your fault-<br>
check the docs." or "Yeah, we know about some problems."
But there has<br>
never been a public acknowledgement that flow-portscan doesn't work or
a<br>
timeframe when a fix could be expected. Flow-portscan doesn't work for<br>
me or anyone else I know. The lack of responses is most likely due to<br>
nobody else getting this to work either.<br>
<br>
-Doug<br>
<br>
-----Original Message-----<br>
From: Kreimendahl, Chad J [mailto:Chad.Kreimendahl@...4716...] <br>
Sent: Tuesday, April 13, 2004 11:22 AM<br>
To: Martin Roesch; Guillaume Arcas<br>
Cc: Snort Users<br>
Subject: RE: [Snort-users] Flow-portscan oddity<br>
<br>
<br>
Yes, everyone says this... And I've checked it out many times over, and<br>
adjusted my numbers accordingly... And yet... Not a single alert.  
I've<br>
tried the different alert modes, different output methods... Very small<br>
numbers on requirements.<br>
<br>
But it seems to me that the default setup, by my reading of the doc<br>
file... If I were to scan a system on that network across all 65535<br>
ports in the span of 15 seconds, that there should be at least 1 (ONE)<br>
alert.  But when I do the same thing across 30 machines on the same<br>
network and all 65k ports in the span of a few minutes, nothing as well.<br>
So it seems to me that there is either something wrong with either or<br>
both of the documentation and the preprocessor.<br>
<br>
If it comes down to it, I have copies of the 20 or so different configs<br>
I've run. <br>
<br>
-----Original Message-----<br>
From: Martin Roesch [mailto:roesch@...1935...]<br>
Sent: Tuesday, April 13, 2004 8:56 AM<br>
To: Guillaume Arcas<br>
Cc: Snort Users<br>
Subject: Re: [Snort-users] Flow-portscan oddity<br>
<br>
Check out README.flow-portscan in the doc directory of your snort<br>
distro.<br>
<br>
     -Marty<br>
<br>
On Apr 13, 2004, at 2:31 AM, Guillaume Arcas wrote:<br>
<br>
> Kreimendahl, Chad J a dit :<br>
>><br>
>> Using the default configuration for flow and flow portscan...
And <br>
>> testing it on an external interface... We're seeing absolutely
no <br>
>> alerts triggered.  I've attempted using many output mechanisms,
<br>
>> hoping that it<br>
>> wasn't the method we were using, and the results are the same.
  I'm<br>
>> 100% positive there were several scans happening on this same
<br>
>> interface, as I ran portscan2 at the same time with a different
<br>
>> snort, on the same<br>
>> interface.   Many noisy ugly alerts from portscan2... Nothing
from<br>
>> flow-portscan.<br>
><br>
> <br>
</tt></font>
<br>