Try metasploit<br><br><div class="gmail_quote">On Wed, Apr 7, 2010 at 1:15 AM, sri harsha <span dir="ltr"><<a href="mailto:harsha536@...13704......">harsha536@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Thanks for the quick response.<br><br>Does anybody know any tool which generates attack packets which are stateful in nature and I can use that tool to test snort? I mean it establishes the TCP connection and then send attack packets?<br>

<br>Sriharsha<br><br><div class="gmail_quote">2010/4/6 Edward Bjarte Fjellskål <span dir="ltr"><<a href="mailto:edward.fjellskal@...14812...." target="_blank">edward.fjellskal@...14590...</a>></span><br>
<blockquote class="gmail_quote" style="border-left:1px solid rgb(204, 204, 204);margin:0pt 0pt 0pt 0.8ex;padding-left:1ex">
<div>sri harsha wrote:<br>
> Hi All,<br>
><br>
> I am using snort version 2.8.5.1 and trying to understand how it works.<br>
> I posted the same query earlier but did not get enough response. I am<br>
> simulating attack packets using tool called snot. This tool generates<br>
> attack packets which are basically stateless in nature. I mean it<br>
> generates packets without proper 3 way TCP handshake. But snort is not<br>
> detecting those attacks.<br>
<br>
</div>The attacks are not real... they would not have any affect in real life :)<br>
IE, how would a ftp attack that needs the user to log in etc, be<br>
effective if there is just one stateless packet?<br>
<br>
Say your tool sends a "mkdir Evil-buffer-overflow" when your ftp server<br>
does not handle that packet, cuz you need first to have a 3whs, a login etc.<br>
<div><br>
><br>
> I am able to see UDP, ICMP packets getting detected but not TCP. I read<br>
> snort README and tried various options like require_3whs, detect<br>
> anomalies etc in stream5 preprocessor with tcp_track set to yes but no<br>
> luck.<br>
><br>
> One response I got was snort latest version doesn't detect stateless<br>
> attacks and expect the end host TCP stack will take care. But my concern<br>
> what if the stack is not capable to handle such attack? Do we have any<br>
> way by which we can tweak snort and detect such stateless attacks?<br>
<br>
</div>You would to rewrite the rules to not be state aware I guess. Like in<br>
the old days...<br>
<br>
<br>
</blockquote></div><br>
<br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br>Nick Moore, SFCE, CISSP, CISA<br>
Sr. Systems Engineer<br>Voice 708-336-9041<br>Email <a href="mailto:nick.moore@...1935...">nick.moore@...1935...</a><br>IM    nickgmoore (Yahoo)<br>       nickgmoore38 (AIM)<br><br>    ,,_<br>   o"  )~   Sourcefire - The Creators of Snort<br>
    ''''<br><br><a href="http://www.sourcefire.com">www.sourcefire.com</a>         <a href="http://www.snort.org">www.snort.org</a><br><br>