OK, even sillier follow-up - my apologies for replying before morning coffee. <div><br></div><div>Snot is a stateless packet generator - i.e. it sends packets without establishing a proper 3-way TCP handshake first. While that's handy for annoying old versions of Snort, before the stream preprocessor (and potentially hosing up poorly-written TCP stacks), destination machines will never receive TCP packets outside of a valid session, and so Snort just quietly drops them. Since virtually all of our TCP-based rules require an established TCP session anyway, it makes perfect sense that you're not getting any alerts.</div>
<div><br></div><div>If you need to test Snort, I would suggest looking for a different source of traffic. Wireshark's packet capture library has some cool stuff, and you can of course generate your own traffic as well.<br>
<br><div class="gmail_quote">On Tue, Mar 2, 2010 at 6:42 AM, sri harsha <span dir="ltr"><<a href="mailto:harsha536@...11827...">harsha536@...979...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Hi,<br>    I am not able to detect attack packets using snort on linux PC. I installed snort 2.8.5.1 on a linux PC. I'm using default configuration of snort.conf. I'm sending attack packets from another linux machine with destination as the snort installed PC. I'm using snot tool to send attack packets. I observed the following alert message on the snort PC, when i sent attack-response packets. <br>


<br>[**] [128:4:1] (spp_ssh) Protocol mismatch [**]<br>[Priority: 3]<br>03/02-11:00:08.532684 <a href="http://76.0.0.10:22" target="_blank">76.0.0.10:22</a> -> <a href="http://4.4.4.10:49062" target="_blank">4.4.4.10:49062</a><br>

TCP TTL:197 TOS:0x0 ID:5234 IpLen:20 DgmLen:763<br>
1*U*P*S* Seq: 0xA34D20A2  Ack: 0x97C04470  Win: 0x4B58  TcpLen: 20  UrgPtr: 0x87D9<br><br>[**] [122:1:0] (portscan) TCP Portscan [**]<br>[Priority: 3]<br>03/02-11:00:08.532692 4.4.4.10 -> 76.0.0.10<br>PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:155 DF<br>


<br>[**] [128:4:1] (spp_ssh) Protocol mismatch [**]<br>[Priority: 3]<br>03/02-11:00:14.590679 <a href="http://76.0.0.10:22" target="_blank">76.0.0.10:22</a> -> <a href="http://4.4.4.10:17509" target="_blank">4.4.4.10:17509</a><br>

TCP TTL:83 TOS:0x0 ID:50679 IpLen:20 DgmLen:406<br>
1****RSF Seq: 0xD5A78410  Ack: 0xBE5E0E08  Win: 0x39F5  TcpLen: 20<br><br>[**] [128:4:1] (spp_ssh) Protocol mismatch [**]<br>[Priority: 3]<br>03/02-11:00:17.620154 <a href="http://76.0.0.10:22" target="_blank">76.0.0.10:22</a> -> <a href="http://4.4.4.10:37210" target="_blank">4.4.4.10:37210</a><br>


TCP TTL:252 TOS:0x0 ID:21173 IpLen:20 DgmLen:483<br>12U*P*S* Seq: 0xDB2FE072  Ack: 0x32A91A5C  Win: 0x8447  TcpLen: 20  UrgPtr: 0xEE86<br> <br><br>Do i need to make any changes in the configuration of snort.conf? Thanks for any help in advance.<br>

<br>Thanks,<br>Sriharsha<br>
<br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>
Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...1935...">alex.kirk@...1935...</a><br>
</div>