<HTML>
<HEAD>
<TITLE>Re: [Snort-users] How many ports is considered a portsweep/portscan?</TITLE>
</HEAD>
<BODY>
<FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Have you tried this?<BR>
<BR>
<BR>
  3. Make use of the Priority Count, Connection Count, IP Count, Port Count, IP<BR>
     range, and Port range to determine false positives.<BR>
<BR>
     The portscan alert details are vital in determining the scope of a portscan<BR>
     and also the confidence of the portscan.  In the future, we hope to<BR>
     automate much of this analysis in assigning a scope level and confidence<BR>
     level, but for now the user must manually do this.  The easiest way to<BR>
     determine false positives is through simple ratio estimations.  The<BR>
     following is a list of ratios to estimate and the associated values that<BR>
     indicate a legimite scan and not a false positive.<BR>
<BR>
     Connection Count / IP Count:  This ratio indicates an estimated average of<BR>
     connections per IP.  For portscans, this ratio should be high, the higher<BR>
     the better.  For portsweeps, this ratio should be low.<BR>
<BR>
     Port Count / IP Count:  This ratio indicates an estimated average of ports<BR>
     connected to per IP.  For portscans, this ratio should be high and<BR>
     indicates that the scanned host's ports were connected to by fewer IPs.<BR>
     For portsweeps, this ratio should be low, indicating that the scanning host<BR>
     connected to few ports but on many hosts.<BR>
<BR>
     Connection Count / Port Count:  This ratio indicates an estimated average<BR>
     of connections per port.  For portscans, this ratio should be low.  This<BR>
     indicates that each connection was to a different port.  For portsweeps,<BR>
     this ratio should be high.  This indicates that there were many connections<BR>
     to the same port.<BR>
<BR>
     The reason that Priority Count is not included, is because the priority<BR>
     count is included in the connection count and the above comparisons take<BR>
     that into consideration.  The Priority Count play an important role in<BR>
     tuning because the higher the priority count the more likely it is a real<BR>
     portscan or portsweep (unless the host is firewalled).<BR>
<BR>
<BR>
On Thu, Mar 18, 2010 at 9:10 AM, James Lay <<a href="jlay@...13475...">jlay@...13475...</a>> wrote:<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'>Subject pretty much says it all...there are certain machines that I want to be able to detect a portsweep or scan, but not when they scan say 4 or 5 ports like booting up with netbios checking out other machines on a network (I think that’s why I’m seeing these FP’s).  Sfportscan is set to low, but I’m not sure what else I can set?  Thanks all.<BR>
<BR>
</SPAN></FONT></BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<BR>
Thanks Matt,<BR>
<BR>
I took a good solid read of the README for sfportscan, but at the end of the day it seems that I’m left with only a couple options of ignore_scanners, and ignore_scanned.  Am I reading something wrong?  These seem pretty binary to me....unless there’s a more granular level of control that I’m missing.  I have two server that chat with each other...if I use either of these ignore lines, the my high amount of portscan alerts goes away, but then if one of those servers is compromised, I would WANT to see any unusual portscan type traffic.  Does this make sense or do I sound way out of wack?  Like..the functionality to say “an attempt to open 6 ports within 10 seconds is fine to this range of 135-141, but an attempt to open 6 ports within 10 seconds of any other range and I want an alert”.  Or something close to that.  Thanks for the assist.<BR>
<BR>
James<BR>
</SPAN></FONT><BLOCKQUOTE><FONT FACE="Calibri, Verdana, Helvetica, Arial"><SPAN STYLE='font-size:11pt'><BR>
<FONT COLOR="#888888"><BR>
<BR>
<BR>
</FONT></SPAN></FONT></BLOCKQUOTE>
</BODY>
</HTML>