<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2722" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left>
<P><FONT face=Arial size=2>I've noticed the same thing in my configuration where 
Snort is much more quiet than it used to be... False positives and "noise" seem 
to be at a minimum now. This is definitely not at the expense of solid detection 
however. I really put Snort 2.4 through some heavy tests with Nessus and other 
tools, and it does detect everything just fine.</FONT></P>
<P><FONT face=Arial><FONT size=2>In looking at the rules, I noticed that many of 
the rules now use the <EM>flow:established</EM> option. I might be mistaken, but 
I don't think this was always the case with the rules. I think a 
preprocessor <SPAN class=387190521-14092005>used to </SPAN>handle the flow 
conditions. In a rule with <EM>flow:established</EM>, Snort will only detect the 
anomalies that occur during an established connection. It doesn't alert on the 
packets that are simply aimed at your network segment, but not 
actually <SPAN class=387190521-14092005>traversing</SPAN><SPAN 
class=387190521-14092005> an existing connection.</SPAN></FONT></FONT></P>
<P><SPAN class=387190521-14092005></SPAN><FONT face=Arial><FONT size=2>D<SPAN 
class=387190521-14092005>o I have this right?</SPAN></FONT></FONT><BR></P></DIV>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> snort-users-admin@lists.sourceforge.net 
[mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>Walt 
Rich<BR><B>Sent:</B> Wednesday, September 14, 2005 4:27 PM<BR><B>To:</B> 
snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] New Snort 2.2 
Rules<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV><SPAN class=406242220-14092005><FONT face=Arial size=2>I updated the Snort 
rules to the latest available on Souceforge's site.  They wre auite out of 
date, and almost a year old.  Snort is up and running, but has become very 
queit!  It used to detect alot of false positives, which were a pain, but 
at least I knew it was working.  Now it is very, very quiet, and 
hasn't detected anything in over 2 hours.  Is it possible that the rule 
writers have become so good that the detection of false positives has been 
almost eliminated?  Has anyone else experienced anything similar?  Any 
input is greatly appreciated.</FONT></SPAN></DIV>
<DIV><SPAN class=406242220-14092005><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=406242220-14092005><FONT face=Arial size=2>Thanks! 
</FONT></SPAN></DIV>
<DIV> </DIV>
<DIV align=left>
<TABLE cellSpacing=0 cellPadding=0 width="100%" border=0>
  <TBODY>
  <TR>
    <TD vAlign=top></TD>
    <TD vAlign=top>
      <DIV align=right><IMG height=48 alt="Parago Logo" 
      src="http://www.parago.com/images/parago_logo_for_email.gif" width=108 
      border=0></DIV></TD></TR>
  <TR>
    <TD colSpan=2>
      <HR width="100%" color=#666666 noShade SIZE=1>
    </TD></TR>
  <TR>
    <TD colSpan=2>
      <DIV align=left><SPAN class=EmailStyle17><FONT face="Trebuchet MS" 
      size=2>| <B>Walt Rich</B> | Sr. Network Engineer | Parago, 
      Inc. | 972.538.7253 | <SPAN 
      style="FONT-SIZE: 10pt; FONT-FAMILY: 'Trebuchet MS'"><A 
      href="mailto:walt.rich@...12648...">walt.rich@...12648...</A></SPAN> 
      |</FONT></SPAN></FONT></SPAN></DIV></TD></TR></TBODY></TABLE></DIV>
<DIV> </DIV></BODY></HTML>