<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2800.1476" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=406022819-30112004><FONT face=Arial color=#0000ff size=2>I 
would most likely say that these are information signatures.  They aren't 
false positive, but if you do alot of drive/network shares and stuff like that, 
you're going to see that kind of thing.</FONT></SPAN></DIV>
<DIV><SPAN class=406022819-30112004><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=406022819-30112004><FONT face=Arial color=#0000ff 
size=2>Joel</FONT></SPAN></DIV>
<BLOCKQUOTE style="MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> 
  snort-users-admin@lists.sourceforge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of 
  </B>RKejariwal@...12730...<BR><B>Sent:</B> Tuesday, November 30, 2004 2:13 
  PM<BR><B>To:</B> snort-users@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-users] netbios rules question<BR><BR></FONT></DIV><BR><FONT 
  face=sans-serif size=2>Hi All</FONT> <BR><FONT face=sans-serif size=2>I had a 
  question regarding netbios rules. Lately I have been receiving a lot of the 
  alerts as shown below where A.A.A.A and B.B.B.B are all internal hosts to my 
  network. In addition B.B.B.B is the IP address of our domain controller. 
   Is this merely false positiive or something i should be concerned about. 
  How do I go abt troubleshooting further to see what exactly is happenig. Any 
  help will be appreciated</FONT> <BR><BR><FONT face=sans-serif 
  size=2>Thanks</FONT> <BR><FONT face=sans-serif size=2>Ravi</FONT> 
  <BR><BR><FONT face=sans-serif size=2>[**] [1:2466:4] NETBIOS SMB-DS IPC$ share 
  unicode access [**]</FONT> <BR><FONT face=sans-serif size=2>[Classification: 
  Generic Protocol Command Decode] [Priority: 3] </FONT><BR><FONT 
  face=sans-serif size=2>11/30-14:05:00.173386 A.A.A.A:1105 -> 
  B.B.B.B:139</FONT> <BR><FONT face=sans-serif size=2>TCP TTL:128 TOS:0x0 
  ID:22636 IpLen:20 DgmLen:128 DF</FONT> <BR><FONT face=sans-serif 
  size=2>***AP*** Seq: 0xD1482D9A  Ack: 0x4A54B89D  Win: 0xFFFF 
   TcpLen: 20</FONT> <BR><BR><FONT face=sans-serif size=2>[**] [1:2404:5] 
  NETBIOS SMB-DS Session Setup AndX request unicode username overflow attempt 
  [**]</FONT> <BR><FONT face=sans-serif size=2>[Classification: Attempted 
  Administrator Privilege Gain] [Priority: 1] </FONT><BR><FONT face=sans-serif 
  size=2>11/30-14:05:00.163386  A.A.A.A:1105 -> B.B.B.B:445</FONT> 
  <BR><FONT face=sans-serif size=2>TCP TTL:128 TOS:0x0 ID:22635 IpLen:20 
  DgmLen:1440 DF</FONT> <BR><FONT face=sans-serif size=2>***AP*** Seq: 
  0xD1482822  Ack: 0x4A54B769  Win: 0xFAB7  TcpLen: 20</FONT> 
  <BR><FONT face=sans-serif size=2>[Xref => 
  http://www.eeye.com/html/research/advisories/ad20040226.html][Xref => 
  http://www.securityfocus.com/bid/9752]</FONT> <BR><BR><FONT face=sans-serif 
  size=2><BR><BR><BR><BR><BR><BR><BR><BR><BR><BR><BR><BR>The information 
  transmitted is intended only for the person or entity to which it is addressed 
  and may contain confidential and/or privileged material.  Any review, 
  retransmission, dissemination or other use of, or taking of any action in 
  reliance upon, this information by persons or entities other than the intended 
  recipient is prohibited.   If you received this in error, please contact 
  the sender and delete the material from any 
computer.</FONT></BLOCKQUOTE></BODY></HTML>