<DIV>
<DIV> I have worked on snort in linux environment but using it in windows environment for the first time.I am getting the error message and am confused because I don't know what is wrong. I have reinstalled the snort and changed the path but still the same message</DIV>
<DIV> </DIV>
<DIV>C:\Snort\bin>snort -A full -c C:\Snort\etc\snort.conf -l C:\Snort\log<BR>Running in IDS mode<BR>Log directory = C:\Snort\log</DIV>
<DIV>Initializing Network Interface \Device\NPF_{E2D99213-90AE-44FD-AE62-52B6887D36AB<BR>}</DIV>
<DIV>        --== Initializing Snort ==--<BR>Initializing Output Plugins!<BR>Decoding Ethernet on interface \Device\NPF_{E2D99213-90AE-44FD-AE62-52B6887D36AB<BR>}<BR>Initializing Preprocessors!<BR>Initializing Plug-ins!<BR>Parsing Rules file C:\Snort\etc\snort.conf</DIV>
<DIV>+++++++++++++++++++++++++++++++++++++++++++++++++++<BR>Initializing rule chains...<BR>ERROR: Unable to open rules file: C:\Snort\etc\snort.conf or C:\Snort\etc\C:\Sno<BR>rt\etc\snort.conf<BR>Fatal Error, Quitting..</DIV>
<DIV> </DIV>
<DIV>My snort.conf file looks like this</DIV>
<DIV> </DIV>
<DIV><FONT size=2>
<P>#--------------------------------------------------</P>
<P># http://www.snort.org Snort 2.1.0 Ruleset</P>
<P># Contact: snort-sigs@lists.sourceforge.net</P>
<P>#--------------------------------------------------</P>
<P># $Id: snort.conf,v 1.141 2004/02/20 17:27:29 cazz Exp $</P>
<P>#</P>
<P>###################################################</P>
<P># This file contains a sample snort configuration. </P>
<P># You can take the following steps to create your own custom configuration:</P>
<P>#</P>
<P># 1) Set the network variables for your network</P>
<P># 2) Configure preprocessors</P>
<P># 3) Configure output plugins</P>
<P># 4) Customize your rule set</P>
<P>#</P>
<P>###################################################</P>
<P># Step #1: Set the network variables:</P>
<P>#</P>
<P># You must change the following variables to reflect your local network. The</P>
<P># variable is currently setup for an RFC 1918 address space.</P>
<P>#</P>
<P># You can specify it explicitly as: </P>
<P>#</P>
<P># var HOME_NET 10.1.1.0/24</P>
<P>#</P>
<P># or use global variable $<interfacename>_ADDRESS which will be always</P>
<P># initialized to IP address and netmask of the network interface which you run</P>
<P># snort at. Under Windows, this must be specified as</P>
<P># $(<interfacename>_ADDRESS), such as:</P>
<P># $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS)</P>
<P>#</P>
<P># var HOME_NET $eth0_ADDRESS</P>
<P>#</P>
<P># You can specify lists of IP addresses for HOME_NET</P>
<P># by separating the IPs with commas like this:</P>
<P>#</P>
<P># var HOME_NET [10.1.1.0/24,192.168.1.0/24]</P>
<P>#</P>
<P># MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST!</P>
<P>#</P>
<P># or you can specify the variable to be any IP address</P>
<P># like this:</P>
<P>var HOME_NET any</P>
<P># Set up the external network addresses as well. A good start may be "any"</P>
<P>var EXTERNAL_NET any</P>
<P># Configure your server lists. This allows snort to only look for attacks to</P>
<P># systems that have a service up. Why look for HTTP attacks if you are not</P>
<P># running a web server? This allows quick filtering based on IP addresses</P>
<P># These configurations MUST follow the same configuration scheme as defined</P>
<P># above for $HOME_NET. </P>
<P># List of DNS servers on your network </P>
<P>var DNS_SERVERS $HOME_NET</P>
<P># List of SMTP servers on your network</P>
<P>var SMTP_SERVERS $HOME_NET</P>
<P># List of web servers on your network</P>
<P>var HTTP_SERVERS $HOME_NET</P>
<P># List of sql servers on your network </P>
<P>var SQL_SERVERS $HOME_NET</P>
<P># List of telnet servers on your network</P>
<P>var TELNET_SERVERS $HOME_NET</P>
<P># List of snmp servers on your network</P>
<P>var SNMP_SERVERS $HOME_NET</P>
<P># Configure your service ports. This allows snort to look for attacks destined</P>
<P># to a specific application only on the ports that application runs on. For</P>
<P># example, if you run a web server on port 8081, set your HTTP_PORTS variable</P>
<P># like this:</P>
<P>#</P>
<P># var HTTP_PORTS 8081</P>
<P>#</P>
<P># Port lists must either be continuous [eg 80:8080], or a single port [eg 80].</P>
<P># We will adding support for a real list of ports in the future.</P>
<P># Ports you run web servers on</P>
<P>#</P>
<P># Please note: [80,8080] does not work.</P>
<P># If you wish to define multiple HTTP ports,</P>
<P># </P>
<P>## var HTTP_PORTS 80 </P>
<P>## include somefile.rules </P>
<P>## var HTTP_PORTS 8080</P>
<P>## include somefile.rules </P>
<P>var HTTP_PORTS 80</P>
<P># Ports you want to look for SHELLCODE on.</P>
<P>var SHELLCODE_PORTS !80</P>
<P># Ports you do oracle attacks on</P>
<P>var ORACLE_PORTS 1521</P>
<P># other variables</P>
<P># </P>
<P># AIM servers. AOL has a habit of adding new AIM servers, so instead of</P>
<P># modifying the signatures when they do, we add them to this list of servers.</P>
<P>var AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]</P>
<P># Path to your rules files (this can be a relative path)</P>
<P>var RULE_PATH c:\Snort\rules</P>
<P># Configure the snort decoder</P>
<P># ============================</P>
<P>#</P>
<P># Snort's decoder will alert on lots of things such as header</P>
<P># truncation or options of unusual length or infrequently used tcp options</P>
<P>#</P>
<P>#</P>
<P># Stop generic decode events:</P>
<P>#</P>
<P># config disable_decode_alerts</P>
<P>#</P>
<P># Stop Alerts on experimental TCP options</P>
<P>#</P>
<P># config disable_tcpopt_experimental_alerts</P>
<P>#</P>
<P># Stop Alerts on obsolete TCP options</P>
<P>#</P>
<P># config disable_tcpopt_obsolete_alerts</P>
<P>#</P>
<P># Stop Alerts on T/TCP alerts</P>
<P>#</P>
<P># In snort 2.0.1 and above, this only alerts when a TCP option is detected</P>
<P># that shows T/TCP being actively used on the network. If this is normal</P>
<P># behavior for your network, disable the next option.</P>
<P>#</P>
<P># config disable_tcpopt_ttcp_alerts</P>
<P>#</P>
<P># Stop Alerts on all other TCPOption type events:</P>
<P>#</P>
<P># config disable_tcpopt_alerts</P>
<P>#</P>
<P># Stop Alerts on invalid ip options</P>
<P>#</P>
<P># config disable_ipopt_alerts</P>
<P># Configure the detection engine</P>
<P># ===============================</P>
<P>#</P>
<P># Use a different pattern matcher in case you have a machine with very limited</P>
<P># resources:</P>
<P>#</P>
<P># config detection: search-method lowmem</P>
<P>###################################################</P>
<P># Step #2: Configure preprocessors</P>
<P>#</P>
<P># General configuration for preprocessors is of </P>
<P># the form</P>
<P># preprocessor <name_of_processor>: <configuration_options></P>
<P># Configure Flow tracking module</P>
<P># -------------------------------</P>
<P>#</P>
<P># The Flow tracking module is meant to start unifying the state keeping</P>
<P># mechanisms of snort into a single place. Right now, only a portscan detector</P>
<P># is implemented but in the long term, many of the stateful subsystems of</P>
<P># snort will be migrated over to becoming flow plugins. This must be enabled</P>
<P># for flow-portscan to work correctly.</P>
<P>#</P>
<P># See README.flow for additional information</P>
<P>#</P>
<P>preprocessor flow: stats_interval 0 hash 2</P>
<P># frag2: IP defragmentation support</P>
<P># -------------------------------</P>
<P># This preprocessor performs IP defragmentation. This plugin will also detect</P>
<P># people launching fragmentation attacks (usually DoS) against hosts. No</P>
<P># arguments loads the default configuration of the preprocessor, which is a 60</P>
<P># second timeout and a 4MB fragment buffer. </P>
<P># The following (comma delimited) options are available for frag2</P>
<P># timeout [seconds] - sets the number of [seconds] that an unfinished </P>
<P># fragment will be kept around waiting for completion,</P>
<P># if this time expires the fragment will be flushed</P>
<P># memcap [bytes] - limit frag2 memory usage to [number] bytes</P>
<P># (default: 4194304)</P>
<P>#</P>
<P># min_ttl [number] - minimum ttl to accept</P>
<P># </P>
<P># ttl_limit [number] - difference of ttl to accept without alerting</P>
<P># will cause false positves with router flap</P>
<P># </P>
<P># Frag2 uses Generator ID 113 and uses the following SIDS </P>
<P># for that GID:</P>
<P># SID Event description</P>
<P># ----- -------------------</P>
<P># 1 Oversized fragment (reassembled frag > 64k bytes)</P>
<P># 2 Teardrop-type attack</P>
<P>preprocessor frag2</P>
<P># stream4: stateful inspection/stream reassembly for Snort</P>
<P>#----------------------------------------------------------------------</P>
<P># Use in concert with the -z [all|est] command line switch to defeat stick/snot</P>
<P># against TCP rules. Also performs full TCP stream reassembly, stateful</P>
<P># inspection of TCP streams, etc. Can statefully detect various portscan</P>
<P># types, fingerprinting, ECN, etc.</P>
<P># stateful inspection directive</P>
<P># no arguments loads the defaults (timeout 30, memcap 8388608)</P>
<P># options (options are comma delimited):</P>
<P># detect_scans - stream4 will detect stealth portscans and generate alerts</P>
<P># when it sees them when this option is set</P>
<P># detect_state_problems - detect TCP state problems, this tends to be very</P>
<P># noisy because there are a lot of crappy ip stack</P>
<P># implementations out there</P>
<P>#</P>
<P># disable_evasion_alerts - turn off the possibly noisy mitigation of</P>
<P># overlapping sequences.</P>
<P>#</P>
<P>#</P>
<P># min_ttl [number] - set a minium ttl that snort will accept to</P>
<P># stream reassembly</P>
<P>#</P>
<P># ttl_limit [number] - differential of the initial ttl on a session versus</P>
<P># the normal that someone may be playing games.</P>
<P># Routing flap may cause lots of false positives.</P>
<P># </P>
<P># keepstats [machine|binary] - keep session statistics, add "machine" to </P>
<P># get them in a flat format for machine reading, add</P>
<P># "binary" to get them in a unified binary output </P>
<P># format</P>
<P># noinspect - turn off stateful inspection only</P>
<P># timeout [number] - set the session timeout counter to [number] seconds,</P>
<P># default is 30 seconds</P>
<P># memcap [number] - limit stream4 memory usage to [number] bytes</P>
<P># log_flushed_streams - if an event is detected on a stream this option will</P>
<P># cause all packets that are stored in the stream4</P>
<P># packet buffers to be flushed to disk. This only </P>
<P># works when logging in pcap mode!</P>
<P>#</P>
<P># Stream4 uses Generator ID 111 and uses the following SIDS </P>
<P># for that GID:</P>
<P># SID Event description</P>
<P># ----- -------------------</P>
<P># 1 Stealth activity</P>
<P># 2 Evasive RST packet</P>
<P># 3 Evasive TCP packet retransmission</P>
<P># 4 TCP Window violation</P>
<P># 5 Data on SYN packet</P>
<P># 6 Stealth scan: full XMAS</P>
<P># 7 Stealth scan: SYN-ACK-PSH-URG</P>
<P># 8 Stealth scan: FIN scan</P>
<P># 9 Stealth scan: NULL scan</P>
<P># 10 Stealth scan: NMAP XMAS scan</P>
<P># 11 Stealth scan: Vecna scan</P>
<P># 12 Stealth scan: NMAP fingerprint scan stateful detect</P>
<P># 13 Stealth scan: SYN-FIN scan</P>
<P># 14 TCP forward overlap</P>
<P>preprocessor stream4: disable_evasion_alerts</P>
<P># tcp stream reassembly directive</P>
<P># no arguments loads the default configuration </P>
<P># Only reassemble the client,</P>
<P># Only reassemble the default list of ports (See below), </P>
<P># Give alerts for "bad" streams</P>
<P>#</P>
<P># Available options (comma delimited):</P>
<P># clientonly - reassemble traffic for the client side of a connection only</P>
<P># serveronly - reassemble traffic for the server side of a connection only</P>
<P># both - reassemble both sides of a session</P>
<P># noalerts - turn off alerts from the stream reassembly stage of stream4</P>
<P># ports [list] - use the space separated list of ports in [list], "all" </P>
<P># will turn on reassembly for all ports, "default" will turn</P>
<P># on reassembly for ports 21, 23, 25, 53, 80, 143, 110, 111</P>
<P># and 513</P>
<P>preprocessor stream4_reassemble</P>
<P># http_inspect: normalize and detect HTTP traffic and protocol anomalies</P>
<P>#</P>
<P># lots of options available here. See doc/README.http_inspect.</P>
<P># unicode.map should be wherever your snort.conf lives, or given</P>
<P># a full path to where snort can find it.</P>
<P>preprocessor http_inspect: global \</P>
<P>iis_unicode_map unicode.map 1252 </P>
<P>preprocessor http_inspect_server: server default \</P>
<P>profile all ports { 80 8080 8180 } oversize_dir_length 500</P>
<P>#</P>
<P># Example unqiue server configuration</P>
<P>#</P>
<P>#preprocessor http_inspect_server: server 1.1.1.1 \</P>
<P># ports { 80 3128 8080 } \</P>
<P># flow_depth 0 \</P>
<P># ascii no \</P>
<P># double_decode yes \</P>
<P># non_rfc_char { 0x00 } \</P>
<P># chunk_length 500000 \</P>
<P># non_strict \</P>
<P># oversize_dir_length 300 \</P>
<P># no_alerts</P>
<P> </P>
<P># rpc_decode: normalize RPC traffic</P>
<P># ---------------------------------</P>
<P># RPC may be sent in alternate encodings besides the usual 4-byte encoding</P>
<P># that is used by default. This plugin takes the port numbers that RPC</P>
<P># services are running on as arguments - it is assumed that the given ports</P>
<P># are actually running this type of service. If not, change the ports or turn</P>
<P># it off.</P>
<P># The RPC decode preprocessor uses generator ID 106</P>
<P>#</P>
<P># arguments: space separated list</P>
<P># alert_fragments - alert on any rpc fragmented TCP data</P>
<P># no_alert_multiple_requests - don't alert when >1 rpc query is in a packet</P>
<P># no_alert_large_fragments - don't alert when the fragmented</P>
<P># sizes exceed the current packet size</P>
<P># no_alert_incomplete - don't alert when a single segment</P>
<P># exceeds the current packet size</P>
<P>preprocessor rpc_decode: 111 32771</P>
<P># bo: Back Orifice detector</P>
<P># -------------------------</P>
<P># Detects Back Orifice traffic on the network. Takes no arguments in 2.0.</P>
<P># </P>
<P># The Back Orifice detector uses Generator ID 105 and uses the </P>
<P># following SIDS for that GID:</P>
<P># SID Event description</P>
<P># ----- -------------------</P>
<P># 1 Back Orifice traffic detected</P>
<P>preprocessor bo</P>
<P># telnet_decode: Telnet negotiation string normalizer</P>
<P># ---------------------------------------------------</P>
<P># This preprocessor "normalizes" telnet negotiation strings from telnet and ftp</P>
<P># traffic. It works in much the same way as the http_decode preprocessor,</P>
<P># searching for traffic that breaks up the normal data stream of a protocol and</P>
<P># replacing it with a normalized representation of that traffic so that the</P>
<P># "content" pattern matching keyword can work without requiring modifications.</P>
<P># This preprocessor requires no arguments.</P>
<P># Portscan uses Generator ID 109 and does not generate any SID currently.</P>
<P>preprocessor telnet_decode</P>
<P># Flow-Portscan: detect a variety of portscans</P>
<P># ---------------------------------------</P>
<P># Note: The Flow preprocessor (above) must first be enabled for Flow-Portscan to</P>
<P># work.</P>
<P>#</P>
<P># This module detects portscans based off of flow creation in the flow</P>
<P># preprocessors. The goal is to catch catch one->many hosts and one->many</P>
<P># ports scans.</P>
<P>#</P>
<P># Flow-Portscan has numerous options available, please read</P>
<P># README.flow-portscan for help configuring this option. </P>
<P># Flow-Portscan uses Generator ID 121 and uses the following SIDS for that GID:</P>
<P># SID Event description</P>
<P># ----- -------------------</P>
<P># 1 flow-portscan: Fixed Scale Scanner Limit Exceeded</P>
<P># 2 flow-portscan: Sliding Scale Scanner Limit Exceeded </P>
<P># 3 flow-portscan: Fixed Scale Talker Limit Exceeded</P>
<P># 4 flow-portscan: Sliding Scale Talker Limit Exceeded</P>
<P># preprocessor flow-portscan: \</P>
<P># talker-sliding-scale-factor 0.50 \</P>
<P># talker-fixed-threshold 30 \</P>
<P># talker-sliding-threshold 30 \</P>
<P># talker-sliding-window 20 \</P>
<P># talker-fixed-window 30 \</P>
<P># scoreboard-rows-talker 30000 \</P>
<P># server-watchnet [10.2.0.0/30] \</P>
<P># server-ignore-limit 200 \</P>
<P># server-rows 65535 \</P>
<P># server-learning-time 14400 \</P>
<P># server-scanner-limit 4 \</P>
<P># scanner-sliding-window 20 \</P>
<P># scanner-sliding-scale-factor 0.50 \</P>
<P># scanner-fixed-threshold 15 \</P>
<P># scanner-sliding-threshold 40 \</P>
<P># scanner-fixed-window 15 \</P>
<P># scoreboard-rows-scanner 30000 \</P>
<P># src-ignore-net [192.168.1.1/32,192.168.0.0/24] \</P>
<P># dst-ignore-net [10.0.0.0/30] \</P>
<P># alert-mode once \</P>
<P># output-mode msg \</P>
<P># tcp-penalties on</P>
<P># arpspoof</P>
<P>#----------------------------------------</P>
<P># Experimental ARP detection code from Jeff Nathan, detects ARP attacks,</P>
<P># unicast ARP requests, and specific ARP mapping monitoring. To make use of</P>
<P># this preprocessor you must specify the IP and hardware address of hosts on</P>
<P># the same layer 2 segment as you. Specify one host IP MAC combo per line.</P>
<P># Also takes a "-unicast" option to turn on unicast ARP request detection. </P>
<P># Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:</P>
<P># SID Event description</P>
<P># ----- -------------------</P>
<P># 1 Unicast ARP request</P>
<P># 2 Etherframe ARP mismatch (src)</P>
<P># 3 Etherframe ARP mismatch (dst)</P>
<P># 4 ARP cache overwrite attack</P>
<P>#preprocessor arpspoof</P>
<P>#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00</P>
<P> </P>
<P># Performance Statistics</P>
<P># ----------------------</P>
<P># Documentation for this is provided in the Snort Manual. You should read it.</P>
<P># It is included in the release distribution as doc/snort_manual.pdf</P>
<P># </P>
<P># preprocessor perfmonitor: time 300 file /var/snort/snort.stats pktcnt 10000</P>
<P>####################################################################</P>
<P># Step #3: Configure output plugins</P>
<P>#</P>
<P># Uncomment and configure the output plugins you decide to use. General</P>
<P># configuration for output plugins is of the form:</P>
<P>#</P>
<P># output <name_of_plugin>: <configuration_options></P>
<P>#</P>
<P># alert_syslog: log alerts to syslog</P>
<P># ----------------------------------</P>
<P># Use one or more syslog facilities as arguments. Win32 can also optionally</P>
<P># specify a particular hostname/port. Under Win32, the default hostname is</P>
<P># '127.0.0.1', and the default port is 514.</P>
<P>#</P>
<P># [Unix flavours should use this format...]</P>
<P># output alert_syslog: LOG_AUTH LOG_ALERT</P>
<P>#</P>
<P># [Win32 can use any of these formats...]</P>
<P># output alert_syslog: LOG_AUTH LOG_ALERT</P>
<P># output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT</P>
<P># output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT</P>
<P># log_tcpdump: log packets in binary tcpdump format</P>
<P># -------------------------------------------------</P>
<P># The only argument is the output file name.</P>
<P>output alert_fast: alert.ids</P>
<P># output log_tcpdump: tcpdump.log</P>
<P># database: log to a variety of databases</P>
<P># ---------------------------------------</P>
<P># See the README.database file for more information about configuring</P>
<P># and using this plugin.</P>
<P>#</P>
<P># output database: log, mysql, user=root password=test dbname=db host=localhost</P>
<P># output database: alert, postgresql, user=snort dbname=snort</P>
<P># output database: log, odbc, user=snort dbname=snort</P>
<P># output database: log, mssql, dbname=snort user=snort password=test</P>
<P># output database: log, oracle, dbname=snort user=snort password=test</P>
<P># unified: Snort unified binary format alerting and logging</P>
<P># -------------------------------------------------------------</P>
<P># The unified output plugin provides two new formats for logging and generating</P>
<P># alerts from Snort, the "unified" format. The unified format is a straight</P>
<P># binary format for logging data out of Snort that is designed to be fast and</P>
<P># efficient. Used with barnyard (the new alert/log processor), most of the</P>
<P># overhead for logging and alerting to various slow storage mechanisms such as</P>
<P># databases or the network can now be avoided. </P>
<P>#</P>
<P># Check out the spo_unified.h file for the data formats.</P>
<P>#</P>
<P># Two arguments are supported.</P>
<P># filename - base filename to write to (current time_t is appended)</P>
<P># limit - maximum size of spool file in MB (default: 128)</P>
<P>#</P>
<P># output alert_unified: filename snort.alert, limit 128</P>
<P># output log_unified: filename snort.log, limit 128</P>
<P># You can optionally define new rule types and associate one or more output</P>
<P># plugins specifically to that type.</P>
<P>#</P>
<P># This example will create a type that will log to just tcpdump.</P>
<P># ruletype suspicious</P>
<P># {</P>
<P># type log</P>
<P># output log_tcpdump: suspicious.log</P>
<P># }</P>
<P>#</P>
<P># EXAMPLE RULE FOR SUSPICIOUS RULETYPE:</P>
<P># suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)</P>
<P>#</P>
<P># This example will create a rule type that will log to syslog and a mysql</P>
<P># database:</P>
<P># ruletype redalert</P>
<P># {</P>
<P># type alert</P>
<P># output alert_syslog: LOG_AUTH LOG_ALERT</P>
<P># output database: log, mysql, user=snort dbname=snort host=localhost</P>
<P># }</P>
<P>#</P>
<P># EXAMPLE RULE FOR REDALERT RULETYPE:</P>
<P># redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \</P>
<P># (msg:"Someone is being LEET"; flags:A+;)</P>
<P>#</P>
<P># Include classification & priority settings</P>
<P>#</P>
<P>include c:\Snort\etc\classification.config</P>
<P>#</P>
<P># Include reference systems</P>
<P>#</P>
<P>include c:\Snort\etc\reference.config</P>
<P>####################################################################</P>
<P># Step #4: Customize your rule set</P>
<P>#</P>
<P># Up to date snort rules are available at http://www.snort.org</P>
<P>#</P>
<P># The snort web site has documentation about how to write your own custom snort</P>
<P># rules.</P>
<P>#</P>
<P># The rules included with this distribution generate alerts based on on</P>
<P># suspicious activity. Depending on your network environment, your security</P>
<P># policies, and what you consider to be suspicious, some of these rules may</P>
<P># either generate false positives ore may be detecting activity you consider to</P>
<P># be acceptable; therefore, you are encouraged to comment out rules that are</P>
<P># not applicable in your environment.</P>
<P>#</P>
<P># The following individuals contributed many of rules in this distribution.</P>
<P>#</P>
<P># Credits:</P>
<P># Ron Gula <rgula@...922...> of Network Security Wizards</P>
<P># Max Vision <vision@...4...></P>
<P># Martin Markgraf <martin@...923...></P>
<P># Fyodor Yarochkin <fygrave@...121...></P>
<P># Nick Rogness <nick@...176...></P>
<P># Jim Forster <jforster@...176...></P>
<P># Scott McIntyre <scott@...315...></P>
<P># Tom Vandepoel <Tom.Vandepoel@...271...></P>
<P># Brian Caswell <bmc@...950...></P>
<P># Zeno <admin@...4494...></P>
<P># Ryan Russell <ryan@...35...></P>
<P> </P>
<P> </P>
<P>#=========================================</P>
<P># Include all relevant rulesets here </P>
<P># </P>
<P># The following rulesets are disabled by default:</P>
<P>#</P>
<P># web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus,</P>
<P># chat, multimedia, and p2p</P>
<P># </P>
<P># These rules are either site policy specific or require tuning in order to not</P>
<P># generate false positive alerts in most enviornments.</P>
<P># </P>
<P># Please read the specific include file for more information and</P>
<P># README.alert_order for how rule ordering affects how alerts are triggered.</P>
<P>#=========================================</P>
<P>#include $RULE_PATH/local.rules</P>
<P>include $RULE_PATH/bad-traffic.rules</P>
<P>include $RULE_PATH/exploit.rules</P>
<P>include $RULE_PATH/scan.rules</P>
<P>include $RULE_PATH/finger.rules</P>
<P>include $RULE_PATH/ftp.rules</P>
<P>include $RULE_PATH/telnet.rules</P>
<P>include $RULE_PATH/rpc.rules</P>
<P>include $RULE_PATH/rservices.rules</P>
<P>include $RULE_PATH/dos.rules</P>
<P>include $RULE_PATH/ddos.rules</P>
<P>include $RULE_PATH/dns.rules</P>
<P>include $RULE_PATH/tftp.rules</P>
<P>include $RULE_PATH/web-cgi.rules</P>
<P>include $RULE_PATH/web-coldfusion.rules</P>
<P>include $RULE_PATH/web-iis.rules</P>
<P>include $RULE_PATH/web-frontpage.rules</P>
<P>include $RULE_PATH/web-misc.rules</P>
<P>include $RULE_PATH/web-client.rules</P>
<P>include $RULE_PATH/web-php.rules</P>
<P>include $RULE_PATH/sql.rules</P>
<P>include $RULE_PATH/x11.rules</P>
<P>include $RULE_PATH/icmp.rules</P>
<P>include $RULE_PATH/netbios.rules</P>
<P>include $RULE_PATH/misc.rules</P>
<P>include $RULE_PATH/attack-responses.rules</P>
<P>include $RULE_PATH/oracle.rules</P>
<P>include $RULE_PATH/mysql.rules</P>
<P>include $RULE_PATH/snmp.rules</P>
<P>include $RULE_PATH/smtp.rules</P>
<P>include $RULE_PATH/imap.rules</P>
<P>include $RULE_PATH/pop2.rules</P>
<P>include $RULE_PATH/pop3.rules</P>
<P>include $RULE_PATH/nntp.rules</P>
<P>include $RULE_PATH/other-ids.rules</P>
<P># include $RULE_PATH/web-attacks.rules</P>
<P># include $RULE_PATH/backdoor.rules</P>
<P># include $RULE_PATH/shellcode.rules</P>
<P># include $RULE_PATH/policy.rules</P>
<P># include $RULE_PATH/porn.rules</P>
<P># include $RULE_PATH/info.rules</P>
<P># include $RULE_PATH/icmp-info.rules</P>
<P># include $RULE_PATH/virus.rules</P>
<P># include $RULE_PATH/chat.rules</P>
<P># include $RULE_PATH/multimedia.rules</P>
<P># include $RULE_PATH/p2p.rules</P>
<P>#include $RULE_PATH/experimental.rules</P>
<P># Include any thresholding or suppression commands. See threshold.conf in the</P>
<P># <snort src>/etc directory for details. Commands don't necessarily need to be</P>
<P># contained in this conf, but a separate conf makes it easier to maintain them. </P>
<P># Uncomment if needed.</P>
<P># include threshold.conf</P>
<P> </P>
<P>I am bothering you again for help. Thanks in anticipation</P></FONT></DIV></DIV><p>
                <hr size=1>Do you Yahoo!?<br>
<a href="http://us.rd.yahoo.com/mail_us/taglines/aac/*http://promotions.yahoo.com/new_mail/static/ease.html">Yahoo! Mail Address AutoComplete</a> - You start. We finish.