<html><div style='background-color:'><DIV class=RTE>Hi all,</DIV>
<DIV class=RTE> </DIV>
<DIV class=RTE>I cannot sense port scan activity.  I am running snort on XP with Acid and MySQL, everything else works.  What changes do I  need  to make to my snort.conf file?  How does my file look, is its correct?  Thanks.</DIV>
<DIV class=RTE> </DIV>
<DIV class=RTE> </DIV>
<DIV class=RTE>#--------------------------------------------------<BR>#   <A href="http://www.snort.org">http://www.snort.org</A>     Snort 2.1.0 Ruleset<BR>#     Contact: <A href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</A><BR>#--------------------------------------------------<BR># $Id: snort.conf,v 1.142.2.2 2004/08/05 18:55:37 jhewlett Exp $<BR>#<BR>###################################################<BR># This file contains a sample snort configuration. <BR># You can take the following steps to create your own custom configuration:<BR>#<BR>#  1) Set the network variables for your network<BR>#  2) Configure preprocessors<BR>#  3) Configure output plugins<BR>#  4) Customize your rule set<BR>#<BR>###################################################<BR># Step #1: Set the network variables:<BR>#<BR># You must change the following variables to reflect your local network. The<BR># va
riable is currently setup for an RFC 1918 address space.<BR>#<BR># You can specify it explicitly as: <BR>#<BR># var HOME_NET 10.1.1.0/24<BR>#<BR># or use global variable $<interfacename>_ADDRESS which will be always<BR># initialized to IP address and netmask of the network interface which you run<BR># snort at.  Under Windows, this must be specified as<BR># $(<interfacename>_ADDRESS), such as:<BR># $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS)<BR>#<BR># var HOME_NET $eth0_ADDRESS<BR>#<BR># You can specify lists of IP addresses for HOME_NET<BR># by separating the IPs with commas like this:<BR>#<BR># var HOME_NET [10.1.1.0/24,192.168.1.0/24]<BR>#<BR># MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST!<BR>#<BR># or you can specify the variable to be any IP address<BR># like this:</DIV>
<DIV class=RTE>var HOME_NET 192.168.5.0/24</DIV>
<DIV class=RTE># Set up the external network addresses as well.  A good start may be "any"<BR>var EXTERNAL_NET any</DIV>
<DIV class=RTE># Configure your server lists.  This allows snort to only look for attacks to<BR># systems that have a service up.  Why look for HTTP attacks if you are not<BR># running a web server?  This allows quick filtering based on IP addresses<BR># These configurations MUST follow the same configuration scheme as defined<BR># above for $HOME_NET.  </DIV>
<DIV class=RTE># List of DNS servers on your network <BR>var DNS_SERVERS $HOME_NET</DIV>
<DIV class=RTE># List of SMTP servers on your network<BR>var SMTP_SERVERS $HOME_NET</DIV>
<DIV class=RTE># List of web servers on your network<BR>var HTTP_SERVERS $HOME_NET</DIV>
<DIV class=RTE># List of sql servers on your network <BR>var SQL_SERVERS $HOME_NET</DIV>
<DIV class=RTE># List of telnet servers on your network<BR>var TELNET_SERVERS $HOME_NET</DIV>
<DIV class=RTE># List of snmp servers on your network<BR>var SNMP_SERVERS $HOME_NET</DIV>
<DIV class=RTE># Configure your service ports.  This allows snort to look for attacks destined<BR># to a specific application only on the ports that application runs on.  For<BR># example, if you run a web server on port 8081, set your HTTP_PORTS variable<BR># like this:<BR>#<BR># var HTTP_PORTS 8081<BR>#<BR># Port lists must either be continuous [eg 80:8080], or a single port [eg 80].<BR># We will adding support for a real list of ports in the future.</DIV>
<DIV class=RTE># Ports you run web servers on<BR>#<BR># Please note:  [80,8080] does not work.<BR># If you wish to define multiple HTTP ports,<BR># <BR>## var HTTP_PORTS 80 <BR>## include somefile.rules <BR>## var HTTP_PORTS 8080<BR>## include somefile.rules <BR>var HTTP_PORTS 80</DIV>
<DIV class=RTE># Ports you want to look for SHELLCODE on.<BR>var SHELLCODE_PORTS !80</DIV>
<DIV class=RTE># Ports you do oracle attacks on<BR>var ORACLE_PORTS 1521</DIV>
<DIV class=RTE># other variables<BR># <BR># AIM servers.  AOL has a habit of adding new AIM servers, so instead of<BR># modifying the signatures when they do, we add them to this list of servers.<BR>var AIM_SERVERS [64.12.24.0/24,64.12.25.0/24,64.12.26.14/24,64.12.28.0/24,64.12.29.0/24,64.12.161.0/24,64.12.163.0/24,205.188.5.0/24,205.188.9.0/24]</DIV>
<DIV class=RTE># Path to your rules files (this can be a relative path)<BR># Note for Windows users:  You are advised to make this an absolute path,<BR># such as:  c:\snort\rules<BR>var RULE_PATH c:\snort\rules</DIV>
<DIV class=RTE># Configure the snort decoder<BR># ============================<BR>#<BR># Snort's decoder will alert on lots of things such as header<BR># truncation or options of unusual length or infrequently used tcp options<BR>#<BR>#<BR># Stop generic decode events:<BR>#<BR># config disable_decode_alerts<BR>#<BR># Stop Alerts on experimental TCP options<BR>#<BR># config disable_tcpopt_experimental_alerts<BR>#<BR># Stop Alerts on obsolete TCP options<BR>#<BR># config disable_tcpopt_obsolete_alerts<BR>#<BR># Stop Alerts on T/TCP alerts<BR>#<BR># In snort 2.0.1 and above, this only alerts when a TCP option is detected<BR># that shows T/TCP being actively used on the network.  If this is normal<BR># behavior for your network, disable the next option.<BR>#<BR># config disable_tcpopt_ttcp_alerts<BR>#<BR># Stop Alerts on all other TCPOption type events:<BR>#<BR># config disable_tcpopt_alerts<BR>#<BR># Stop Alerts on invalid ip options<BR>#<BR># config disable_ipopt_alerts</DIV>
<DIV class=RTE># Configure the detection engine<BR># ===============================<BR>#<BR># Use a different pattern matcher in case you have a machine with very limited<BR># resources:<BR>#<BR># config detection: search-method lowmem</DIV>
<DIV class=RTE>###################################################<BR># Step #2: Configure preprocessors<BR>#<BR># General configuration for preprocessors is of <BR># the form<BR># preprocessor <name_of_processor>: <configuration_options></DIV>
<DIV class=RTE># Configure Flow tracking module<BR># -------------------------------<BR>#<BR># The Flow tracking module is meant to start unifying the state keeping<BR># mechanisms of snort into a single place. Right now, only a portscan detector<BR># is implemented but in the long term,  many of the stateful subsystems of<BR># snort will be migrated over to becoming flow plugins. This must be enabled<BR># for flow-portscan to work correctly.<BR>#<BR># See README.flow for additional information<BR>#<BR>preprocessor flow: stats_interval 0 hash 2</DIV>
<DIV class=RTE># frag2: IP defragmentation support<BR># -------------------------------<BR># This preprocessor performs IP defragmentation.  This plugin will also detect<BR># people launching fragmentation attacks (usually DoS) against hosts.  No<BR># arguments loads the default configuration of the preprocessor, which is a 60<BR># second timeout and a 4MB fragment buffer. </DIV>
<DIV class=RTE># The following (comma delimited) options are available for frag2<BR>#    timeout [seconds] - sets the number of [seconds] that an unfinished <BR>#                        fragment will be kept around waiting for completion,<BR>#                        if this time expires the fragment will be flushed<BR>#    memcap [bytes] - limit frag2 memory usage to [number] bytes<BR>#                      (default:  4194304)<BR>#<BR>#    min_ttl [number] - minimum ttl to accept<BR># <BR>#    ttl_limit [number] - difference of ttl to accept without alerting<BR>#    &nb
sp;                    will cause false positves with router flap<BR># <BR># Frag2 uses Generator ID 113 and uses the following SIDS <BR># for that GID:<BR>#  SID     Event description<BR># -----   -------------------<BR>#   1       Oversized fragment (reassembled frag > 64k bytes)<BR>#   2       Teardrop-type attack</DIV>
<DIV class=RTE>preprocessor frag2</DIV>
<DIV class=RTE># stream4: stateful inspection/stream reassembly for Snort<BR>#----------------------------------------------------------------------<BR># Use in concert with the -z [all|est] command line switch to defeat stick/snot<BR># against TCP rules.  Also performs full TCP stream reassembly, stateful<BR># inspection of TCP streams, etc.  Can statefully detect various portscan<BR># types, fingerprinting, ECN, etc.</DIV>
<DIV class=RTE># stateful inspection directive<BR># no arguments loads the defaults (timeout 30, memcap 8388608)<BR># options (options are comma delimited):<BR>#   detect_scans - stream4 will detect stealth portscans and generate alerts<BR>#                  when it sees them when this option is set<BR>#   detect_state_problems - detect TCP state problems, this tends to be very<BR>#                           noisy because there are a lot of crappy ip stack<BR>#                           implementations out there<BR>#<BR>#   disable_evasion_alerts - turn off the possibly noisy mitigation of<BR>#   &n
bsp;                        overlapping sequences.<BR>#<BR>#<BR>#   min_ttl [number]       - set a minium ttl that snort will accept to<BR>#                            stream reassembly<BR>#<BR>#   ttl_limit [number]     - differential of the initial ttl on a session versus<BR>#                             the normal that someone may be playing games.<BR>#                             Routing f
lap may cause lots of false positives.<BR># <BR>#   keepstats [machine|binary] - keep session statistics, add "machine" to <BR>#                         get them in a flat format for machine reading, add<BR>#                         "binary" to get them in a unified binary output <BR>#                         format<BR>#   noinspect - turn off stateful inspection only<BR>#   timeout [number] - set the session timeout counter to [number] seconds,<BR>#                      default is 30 seconds<BR>
#   memcap [number] - limit stream4 memory usage to [number] bytes<BR>#   log_flushed_streams - if an event is detected on a stream this option will<BR>#                         cause all packets that are stored in the stream4<BR>#                         packet buffers to be flushed to disk.  This only <BR>#                         works when logging in pcap mode!<BR>#<BR># Stream4 uses Generator ID 111 and uses the following SIDS <BR># for that GID:<BR>#  SID     Event description<BR># -----   -------------------<BR>#   1       
Stealth activity<BR>#   2       Evasive RST packet<BR>#   3       Evasive TCP packet retransmission<BR>#   4       TCP Window violation<BR>#   5       Data on SYN packet<BR>#   6       Stealth scan: full XMAS<BR>#   7       Stealth scan: SYN-ACK-PSH-URG<BR>#   8       Stealth scan: FIN scan<BR>#   9       Stealth scan: NULL scan<BR>#   10      Stealth scan: NMAP XMAS scan<BR>#   11      Stealth scan: Vecna scan<BR>#   12      Stealth scan: NMAP fingerprint scan stateful detect<BR>#   13      Stealth scan: SYN-FIN scan<BR># &n
bsp; 14      TCP forward overlap</DIV>
<DIV class=RTE>preprocessor stream4: detect_scans</DIV>
<DIV class=RTE># tcp stream reassembly directive<BR># no arguments loads the default configuration <BR>#   Only reassemble the client,<BR>#   Only reassemble the default list of ports (See below),  <BR>#   Give alerts for "bad" streams<BR>#<BR># Available options (comma delimited):<BR>#   clientonly - reassemble traffic for the client side of a connection only<BR>#   serveronly - reassemble traffic for the server side of a connection only<BR>#   both - reassemble both sides of a session<BR>#   noalerts - turn off alerts from the stream reassembly stage of stream4<BR>#   ports [list] - use the space separated list of ports in [list], "all" <BR>#                  will turn on reassembly for all ports, "default" will turn<BR>#               &nb
sp;  on reassembly for ports 21, 23, 25, 53, 80, 143, 110, 111<BR>#                  and 513</DIV>
<DIV class=RTE>preprocessor stream4_reassemble</DIV>
<DIV class=RTE># http_inspect: normalize and detect HTTP traffic and protocol anomalies<BR>#<BR># lots of options available here. See doc/README.http_inspect.<BR># unicode.map should be wherever your snort.conf lives, or given<BR># a full path to where snort can find it.<BR>preprocessor http_inspect: global \<BR>    iis_unicode_map unicode.map 1252 </DIV>
<DIV class=RTE>preprocessor http_inspect_server: server default \<BR>    profile all ports { 80 8080 8180 } oversize_dir_length 500</DIV>
<DIV class=RTE>#<BR>#  Example unqiue server configuration<BR>#<BR>#preprocessor http_inspect_server: server 1.1.1.1 \<BR>#    ports { 80 3128 8080 } \<BR>#    flow_depth 0 \<BR>#    ascii no \<BR>#    double_decode yes \<BR>#    non_rfc_char { 0x00 } \<BR>#    chunk_length 500000 \<BR>#    non_strict \<BR>#    oversize_dir_length 300 \<BR>#    no_alerts</DIV>
<DIV class=RTE><BR># rpc_decode: normalize RPC traffic<BR># ---------------------------------<BR># RPC may be sent in alternate encodings besides the usual 4-byte encoding<BR># that is used by default. This plugin takes the port numbers that RPC<BR># services are running on as arguments - it is assumed that the given ports<BR># are actually running this type of service. If not, change the ports or turn<BR># it off.<BR># The RPC decode preprocessor uses generator ID 106<BR>#<BR># arguments: space separated list<BR># alert_fragments - alert on any rpc fragmented TCP data<BR># no_alert_multiple_requests - don't alert when >1 rpc query is in a packet<BR># no_alert_large_fragments - don't alert when the fragmented<BR>#                            sizes exceed the current packet size<BR># no_alert_incomplete - don't alert when a single segment<BR>#&nbsp
;                      exceeds the current packet size</DIV>
<DIV class=RTE>preprocessor rpc_decode: 111 32771</DIV>
<DIV class=RTE># bo: Back Orifice detector<BR># -------------------------<BR># Detects Back Orifice traffic on the network.  Takes no arguments in 2.0.<BR># <BR># The Back Orifice detector uses Generator ID 105 and uses the <BR># following SIDS for that GID:<BR>#  SID     Event description<BR># -----   -------------------<BR>#   1       Back Orifice traffic detected</DIV>
<DIV class=RTE>preprocessor bo</DIV>
<DIV class=RTE># telnet_decode: Telnet negotiation string normalizer<BR># ---------------------------------------------------<BR># This preprocessor "normalizes" telnet negotiation strings from telnet and ftp<BR># traffic.  It works in much the same way as the http_decode preprocessor,<BR># searching for traffic that breaks up the normal data stream of a protocol and<BR># replacing it with a normalized representation of that traffic so that the<BR># "content" pattern matching keyword can work without requiring modifications.<BR># This preprocessor requires no arguments.<BR># Portscan uses Generator ID 109 and does not generate any SID currently.</DIV>
<DIV class=RTE>preprocessor telnet_decode</DIV>
<DIV class=RTE># Flow-Portscan: detect a variety of portscans<BR># ---------------------------------------<BR># Note:  The Flow preprocessor (above) must first be enabled for Flow-Portscan to<BR># work.<BR>#<BR># This module detects portscans based off of flow creation in the flow<BR># preprocessors.  The goal is to catch one->many hosts and one->many<BR># ports scans.<BR>#<BR># Flow-Portscan has numerous options available, please read<BR># README.flow-portscan for help configuring this option. </DIV>
<DIV class=RTE># Flow-Portscan uses Generator ID 121 and uses the following SIDS for that GID:<BR>#  SID     Event description<BR># -----   -------------------<BR>#   1       flow-portscan: Fixed Scale Scanner Limit Exceeded<BR>#   2       flow-portscan: Sliding Scale Scanner Limit Exceeded <BR>#   3       flow-portscan: Fixed Scale Talker Limit Exceeded<BR>#   4     flow-portscan: Sliding Scale Talker Limit Exceeded</DIV>
<DIV class=RTE>preprocessor flow-portscan: \<BR> talker-sliding-scale-factor 0.50 \<BR> talker-fixed-threshold 30 \<BR> talker-sliding-threshold 30 \<BR> talker-sliding-window 20 \<BR> talker-fixed-window 30 \<BR> scoreboard-rows-talker 30000 \<BR> server-watchnet [10.2.0.0/30] \<BR> server-ignore-limit 200 \<BR> server-rows 65535 \<BR> server-learning-time 14400 \<BR> server-scanner-limit 4 \<BR> scanner-sliding-window 20 \<BR> scanner-sliding-scale-factor 0.50 \<BR> scanner-fixed-threshold 15 \<BR> scanner-sliding-threshold 40 \<BR> scanner-fixed-window 15 \<BR> scoreboard-rows-scanner 30000 \<BR> src-ignore-net [192.168.1.1/32,192.168.0.0/24] \<BR> dst-ignore-net [10.0.0.0/30] \<BR> alert-mode once \<BR> output-mode msg \<BR> tcp-penalties on</DIV>
<DIV class=RTE># arpspoof<BR>#----------------------------------------<BR># Experimental ARP detection code from Jeff Nathan, detects ARP attacks,<BR># unicast ARP requests, and specific ARP mapping monitoring.  To make use of<BR># this preprocessor you must specify the IP and hardware address of hosts on<BR># the same layer 2 segment as you.  Specify one host IP MAC combo per line.<BR># Also takes a "-unicast" option to turn on unicast ARP request detection. <BR># Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:</DIV>
<DIV class=RTE>#  SID     Event description<BR># -----   -------------------<BR>#   1       Unicast ARP request<BR>#   2       Etherframe ARP mismatch (src)<BR>#   3       Etherframe ARP mismatch (dst)<BR>#   4       ARP cache overwrite attack</DIV>
<DIV class=RTE>#preprocessor arpspoof<BR>#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00</DIV>
<DIV class=RTE><BR># Performance Statistics<BR># ----------------------<BR># Documentation for this is provided in the Snort Manual.  You should read it.<BR># It is included in the release distribution as doc/snort_manual.pdf<BR># <BR># preprocessor perfmonitor: time 300 file /var/snort/snort.stats pktcnt 10000</DIV>
<DIV class=RTE>####################################################################<BR># Step #3: Configure output plugins<BR>#<BR># Uncomment and configure the output plugins you decide to use.  General<BR># configuration for output plugins is of the form:<BR>#<BR># output <name_of_plugin>: <configuration_options><BR>#<BR># alert_syslog: log alerts to syslog<BR># ----------------------------------<BR># Use one or more syslog facilities as arguments.  Win32 can also optionally<BR># specify a particular hostname/port.  Under Win32, the default hostname is<BR># '127.0.0.1', and the default port is 514.<BR>#<BR># [Unix flavours should use this format...]<BR># output alert_syslog: LOG_AUTH LOG_ALERT<BR>#<BR># [Win32 can use any of these formats...]<BR># output alert_syslog: LOG_AUTH LOG_ALERT<BR># output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT<BR># output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT</DIV>
<DIV class=RTE># log_tcpdump: log packets in binary tcpdump format<BR># -------------------------------------------------<BR># The only argument is the output file name.<BR>#<BR># output log_tcpdump: tcpdump.log</DIV>
<DIV class=RTE># database: log to a variety of databases<BR># ---------------------------------------<BR># See the README.database file for more information about configuring<BR># and using this plugin.<BR>#<BR>output database: alert, mysql, user=root password=xxxx dbname=snort_db host=localhost<BR># output database: alert, postgresql, user=snort dbname=snort<BR># output database: log, odbc, user=snort dbname=snort<BR># output database: log, mssql, dbname=snort user=snort password=test<BR># output database: log, oracle, dbname=snort user=snort password=test</DIV>
<DIV class=RTE># unified: Snort unified binary format alerting and logging<BR># -------------------------------------------------------------<BR># The unified output plugin provides two new formats for logging and generating<BR># alerts from Snort, the "unified" format.  The unified format is a straight<BR># binary format for logging data out of Snort that is designed to be fast and<BR># efficient.  Used with barnyard (the new alert/log processor), most of the<BR># overhead for logging and alerting to various slow storage mechanisms such as<BR># databases or the network can now be avoided.  <BR>#<BR># Check out the spo_unified.h file for the data formats.<BR>#<BR># Two arguments are supported.<BR>#    filename - base filename to write to (current time_t is appended)<BR>#    limit    - maximum size of spool file in MB (default: 128)<BR>#<BR># output alert_unified: filename snort.alert, limit 128<BR># output log_unified: fil
ename snort.log, limit 128</DIV>
<DIV class=RTE># You can optionally define new rule types and associate one or more output<BR># plugins specifically to that type.<BR>#<BR># This example will create a type that will log to just tcpdump.<BR># ruletype suspicious<BR># {<BR>#   type log<BR>#   output log_tcpdump: suspicious.log<BR># }<BR>#<BR># EXAMPLE RULE FOR SUSPICIOUS RULETYPE:<BR># suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)<BR>#<BR># This example will create a rule type that will log to syslog and a mysql<BR># database:<BR># ruletype redalert<BR># {<BR>#   type alert<BR>#   output alert_syslog: LOG_AUTH LOG_ALERT<BR>#   output database: log, mysql, user=snort dbname=snort host=localhost<BR># }<BR>#<BR># EXAMPLE RULE FOR REDALERT RULETYPE:<BR># redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \<BR>#   (msg:"Someone is being LEET"; flags:A+;)</DIV>
<DIV class=RTE>#<BR># Include classification & priority settings<BR># Note for Windows users:  You are advised to make this an absolute path,<BR># such as:  c:\snort\etc\classification.config<BR>#</DIV>
<DIV class=RTE>include c:\snort\etc\classification.config</DIV>
<DIV class=RTE>#<BR># Include reference systems<BR># Note for Windows users:  You are advised to make this an absolute path,<BR># such as:  c:\snort\etc\reference.config<BR>#</DIV>
<DIV class=RTE>include c:\snort\etc\reference.config</DIV>
<DIV class=RTE>####################################################################<BR># Step #4: Customize your rule set<BR>#<BR># Up to date snort rules are available at <A href="http://www.snort.org">http://www.snort.org</A><BR>#<BR># The snort web site has documentation about how to write your own custom snort<BR># rules.<BR>#<BR># The rules included with this distribution generate alerts based on on<BR># suspicious activity. Depending on your network environment, your security<BR># policies, and what you consider to be suspicious, some of these rules may<BR># either generate false positives ore may be detecting activity you consider to<BR># be acceptable; therefore, you are encouraged to comment out rules that are<BR># not applicable in your environment.<BR>#<BR># The following individuals contributed many of rules in this distribution.<BR>#<BR># Credits:<BR>#   Ron Gula <<A href="mailto:rgula@...922...">rgula@...922...</A>> of Network Security Wizards<BR>#&nbs
p;  Max Vision <<A href="mailto:vision@...4...">vision@...4...</A>><BR>#   Martin Markgraf <<A href="mailto:martin@...923...">martin@...923...</A>><BR>#   Fyodor Yarochkin <<A href="mailto:fygrave@...121...">fygrave@...121...</A>><BR>#   Nick Rogness <<A href="mailto:nick@...176...">nick@...176...</A>><BR>#   Jim Forster <<A href="mailto:jforster@...176...">jforster@...176...</A>><BR>#   Scott McIntyre <<A href="mailto:scott@...315...">scott@...315...</A>><BR>#   Tom Vandepoel <<A href="mailto:Tom.Vandepoel@...271...">Tom.Vandepoel@...271...</A>><BR>#   Brian Caswell <<A href="mailto:bmc@...950...">bmc@...950...</A>><BR>#   Zeno <<A href="mailto:admin@...4494...">admin@...4494...</A>><BR>#   Ryan Russell <<A href="mailto:ryan@...35...">ryan@...35...</A>></DIV>
<DIV class=RTE> </DIV>
<DIV class=RTE>#=========================================<BR># Include all relevant rulesets here <BR># <BR># The following rulesets are disabled by default:<BR>#<BR>#   web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus,<BR>#   chat, multimedia, and p2p<BR>#            <BR># These rules are either site policy specific or require tuning in order to not<BR># generate false positive alerts in most enviornments.<BR># <BR># Please read the specific include file for more information and<BR># README.alert_order for how rule ordering affects how alerts are triggered.<BR>#=========================================</DIV>
<DIV class=RTE>include $RULE_PATH/local.rules<BR>include $RULE_PATH/bad-traffic.rules<BR>include $RULE_PATH/exploit.rules<BR>include $RULE_PATH/scan.rules<BR>include $RULE_PATH/finger.rules<BR>include $RULE_PATH/ftp.rules<BR>include $RULE_PATH/telnet.rules<BR>include $RULE_PATH/rpc.rules<BR>include $RULE_PATH/rservices.rules<BR>include $RULE_PATH/dos.rules<BR>include $RULE_PATH/ddos.rules<BR>include $RULE_PATH/dns.rules<BR>include $RULE_PATH/tftp.rules</DIV>
<DIV class=RTE>include $RULE_PATH/web-cgi.rules<BR>include $RULE_PATH/web-coldfusion.rules<BR>include $RULE_PATH/web-iis.rules<BR>include $RULE_PATH/web-frontpage.rules<BR>include $RULE_PATH/web-misc.rules<BR>include $RULE_PATH/web-client.rules<BR>include $RULE_PATH/web-php.rules</DIV>
<DIV class=RTE>include $RULE_PATH/sql.rules<BR>include $RULE_PATH/x11.rules<BR>include $RULE_PATH/icmp.rules<BR>include $RULE_PATH/netbios.rules<BR>include $RULE_PATH/misc.rules<BR>include $RULE_PATH/attack-responses.rules<BR>include $RULE_PATH/oracle.rules<BR>include $RULE_PATH/mysql.rules<BR>include $RULE_PATH/snmp.rules</DIV>
<DIV class=RTE>include $RULE_PATH/smtp.rules<BR>include $RULE_PATH/imap.rules<BR>include $RULE_PATH/pop2.rules<BR>include $RULE_PATH/pop3.rules</DIV>
<DIV class=RTE>include $RULE_PATH/nntp.rules<BR>include $RULE_PATH/other-ids.rules<BR># include $RULE_PATH/web-attacks.rules<BR># include $RULE_PATH/backdoor.rules<BR># include $RULE_PATH/shellcode.rules<BR># include $RULE_PATH/policy.rules<BR># include $RULE_PATH/porn.rules<BR># include $RULE_PATH/info.rules<BR># include $RULE_PATH/icmp-info.rules<BR> include $RULE_PATH/virus.rules<BR># include $RULE_PATH/chat.rules<BR># include $RULE_PATH/multimedia.rules<BR># include $RULE_PATH/p2p.rules<BR>include $RULE_PATH/experimental.rules</DIV>
<DIV class=RTE># Include any thresholding or suppression commands. See threshold.conf in the<BR># <snort src>/etc directory for details. Commands don't necessarily need to be<BR># contained in this conf, but a separate conf makes it easier to maintain them. <BR># Note for Windows users:  You are advised to make this an absolute path,<BR># such as:  c:\snort\etc\threshold.conf<BR># Uncomment if needed.<BR># include threshold.conf<BR></DIV></div><br clear=all><hr> <a href="http://g.msn.com/8HMBENUS/2737??PS=47575" target="_top">Don¬ít just search. Find. Check out the new MSN Search!</a> </html>