<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:v = 
"urn:schemas-microsoft-com:vml" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word" xmlns:m = 
"http://schemas.microsoft.com/office/2004/12/omml"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2873" name=GENERATOR>
<STYLE>@font-face {
        font-family: Cambria Math;
}
@font-face {
        font-family: Calibri;
}
@font-face {
        font-family: Tahoma;
}
@font-face {
        font-family: Consolas;
}
@page Section1 {size: 8.5in 11.0in; margin: 1.0in 1.0in 1.0in 1.0in; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0in 0in 0pt; FONT-FAMILY: "Times New Roman","serif"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; mso-style-priority: 99
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; mso-style-priority: 99
}
SPAN.EmailStyle17 {
        COLOR: #1f497d; FONT-FAMILY: "Calibri","sans-serif"; mso-style-type: personal-reply
}
.MsoChpDefault {
        mso-style-type: export-only
}
DIV.Section1 {
        page: Section1
}
</STYLE>
<!--[if gte mso 9]><xml>
 <o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
 <o:shapelayout v:ext="edit">
  <o:idmap v:ext="edit" data="1" />
 </o:shapelayout></xml><![endif]--></HEAD>
<BODY lang=EN-US vLink=purple link=blue>
<DIV dir=ltr align=left><SPAN class=067582814-13032008><FONT face=Arial 
color=#0000ff size=2>That's not quite true - there are some vulnerabilities 
(Classified as DOS) that Nessus can run which will bring down servers.  
However, they're usually clearly labeled, and can be turned off as a 
group.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=067582814-13032008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=067582814-13032008><FONT face=Arial 
color=#0000ff size=2>I've also seen Snort alerts which thought I was being 
attacked when running Nessus scans.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=067582814-13032008><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=067582814-13032008><FONT face=Arial 
color=#0000ff size=2>Bob</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> snort-users-bounces@...4137...orge.net 
[mailto:snort-users-bounces@lists.sourceforge.net] <B>On Behalf Of </B>Lurene A 
Grenier<BR><B>Sent:</B> Thursday, March 13, 2008 6:26 AM<BR><B>To:</B> 'Kamran 
Shafi'; snort-users@lists.sourceforge.net<BR><B>Subject:</B> Re: [Snort-users] 
DOS attacks<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV class=Section1>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Nessus 
doesn’t actually exploit any vulnerabilities; it only checks banners and parses 
out the versions to determine if it thinks you’re vulnerable to something.  
 As such, it’s not doing anything actually malicious and its activity 
shouldn’t be detected in most cases.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p> </o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'">Snort 
rules will generally only detect actual attacks as they focus on detecting 
triggering conditions necessary to actually exploiting the vulnerability in 
question.<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p> </o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">_________________________<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">Lurene A 
Grenier, <o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">Analyst Team 
Lead<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">Senior Research 
Engineer<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas"> <o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">Office: (410) 
423-1918<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">Mobile: (703) 
839-3898<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">           
      ,,_<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">SourceFire Inc. 
o"  )~<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 10.5pt; COLOR: #1f497d; FONT-FAMILY: Consolas">                 
''''<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-SIZE: 11pt; COLOR: #1f497d; FONT-FAMILY: 'Calibri','sans-serif'"><o:p> </o:p></SPAN></P>
<DIV 
style="BORDER-RIGHT: medium none; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; PADDING-LEFT: 0in; PADDING-BOTTOM: 0in; BORDER-LEFT: medium none; PADDING-TOP: 3pt; BORDER-BOTTOM: medium none">
<P class=MsoNormal><B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'">From:</SPAN></B><SPAN 
style="FONT-SIZE: 10pt; FONT-FAMILY: 'Tahoma','sans-serif'"> 
snort-users-bounces@lists.sourceforge.net 
[mailto:snort-users-bounces@lists.sourceforge.net] <B>On Behalf Of </B>Kamran 
Shafi<BR><B>Sent:</B> Thursday, March 13, 2008 2:43 AM<BR><B>To:</B> 
snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] DOS 
attacks<o:p></o:p></SPAN></P></DIV>
<P class=MsoNormal><o:p> </o:p></P>
<DIV>
<P class=MsoNormal>P.S.<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal>Is there a specific preprocessor to handle DOS attacks in 
Snort or it is only done through the Snort rules? In specific, I couldn't find 
any rules for flooding DOS attacks and the classical DOS attacks like land and 
teardrop. Do I have to write my own rules to cater for these types of 
attacks?<o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal> <o:p></o:p></P></DIV>
<DIV>
<P class=MsoNormal>Further, I am conducting a full Nessus scan but Snort is only 
reporting very few alerts (20 odd). Is it normal? <BR clear=all><BR>-- 
<BR>Regards<BR>Kam<o:p></o:p></P></DIV></DIV></BODY></HTML>