<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=utf-8">
<META content="MSHTML 6.00.6000.17080" name=GENERATOR></HEAD>
<BODY style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>Hi Russ,</DIV>
<DIV>You are absolutely correct. After some investigation it is base causing the issues. I discovered that the database has the addresses correctly stored and a dump form tcpdump and snort produce correct outputs. A colleague of mine and I discovered Base has a small bug. It is detailed in the attached document.</DIV>
<DIV>Base version is 1.4.4</DIV>
<DIV><BR> </DIV>
<DIV> </DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 3.5pt 3.5pt 0.9pt"><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"></SPAN></P>
<P class=MsoNormal style="MARGIN: 3.5pt 3.5pt 0.9pt"><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">-Bill Marshall<BR>Network Services -<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /><o:p></o:p></SPAN></P>
<P class=MsoNormal style="MARGIN: 0in 3.5pt 0.9pt"><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Governor's Office of Information Technology<o:p></o:p></SPAN></P>
<P class=MsoNormal style="MARGIN: 0in 3.5pt 0.9pt"><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">1575 Sherman Street, Ground Floor G19<BR>Denver, CO 80203<BR>Phone: 303-866-5209<BR>Email:  billy.marshall@...9958...88...<BR><BR>***************************************************************************<BR><FONT color=#008080><FONT color=#000000>Information contained in this email is confidential and intended for the addressee only. If you received this message and are not the intended recipient, please delete the message and do not further disclose the information.</FONT> <o:p></o:p></FONT></SPAN></P><BR><BR>>>> Russ Combs <rcombs@...1935...> 11/30/2010 11:26 AM >>><BR>Just looking at your pcap it is hard to say but Snort and Wireshark are in agreement on the addresses so maybe it is a Base issue.<BR><BR></DIV>
<DIV class=gmail_quote>On Tue, Nov 30, 2010 at 12:28 PM, Billy Marshall <SPAN dir=ltr><<A href="mailto:Billy.Marshall@...9988...">Billy.Marshall@...9988...</A>></SPAN> wrote:<BR>
<BLOCKQUOTE class=gmail_quote style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<DIV style="MARGIN: 4px 4px 1px; FONT: 10pt Tahoma">
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">I have a massive amount of alerts that seem peculiar. Wireshark payload dump from Snort has South African addresses but snort has RFC 1816 addresses.</SPAN></FONT></P></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"></SPAN></FONT></P></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Base output</SPAN></FONT></P></DIV>
<DIV>
<TABLE style="BACKGROUND: white; WIDTH: 100%" cellSpacing=0 cellPadding=0 width="100%" bgColor=white border=0>
<TBODY>
<TR>
<TD style="PADDING-RIGHT: 0in; PADDING-LEFT: 0in; BACKGROUND: rgb(221,221,221); PADDING-BOTTOM: 0in; PADDING-TOP: 0in" vAlign=top bgColor=#dddddd>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">DOS tcpdump tcp LDP print zero length message denial of service attempt </SPAN></FONT></P></TD>
<TD style="PADDING-RIGHT: 0in; PADDING-LEFT: 0in; BACKGROUND: rgb(221,221,221); PADDING-BOTTOM: 0in; PADDING-TOP: 0in" vAlign=top bgColor=#dddddd>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt; TEXT-ALIGN: center" align=center><FONT face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">2010-11-24 06:00:01 </SPAN></FONT></P></TD>
<TD style="PADDING-RIGHT: 0in; PADDING-LEFT: 0in; BACKGROUND: rgb(221,221,221); PADDING-BOTTOM: 0in; PADDING-TOP: 0in" vAlign=top bgColor=#dddddd>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt; TEXT-ALIGN: center" align=center><FONT face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt"><A href="http://165.127.171.36/base/base_stat_ipaddr.php?ip=10.60.93.115&netmask=32" target=_blank>10.xxx.xxx.115</A></SPAN></FONT><FONT size=2><SPAN style="FONT-SIZE: 10pt">:2049</SPAN></FONT> </P></TD>
<TD style="PADDING-RIGHT: 0in; PADDING-LEFT: 0in; BACKGROUND: rgb(221,221,221); PADDING-BOTTOM: 0in; PADDING-TOP: 0in" vAlign=top bgColor=#dddddd>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt; TEXT-ALIGN: center" align=center><FONT face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt"><A href="http://165.127.171.36/base/base_stat_ipaddr.php?ip=10.60.72.15&netmask32" target=_blank>10.xxx.xxx.15</A></SPAN></FONT><FONT size=2><SPAN style="FONT-SIZE: 10pt">:646</SPAN></FONT> </P></TD>
<TD style="PADDING-RIGHT: 0in; PADDING-LEFT: 0in; BACKGROUND: rgb(221,221,221); PADDING-BOTTOM: 0in; PADDING-TOP: 0in" vAlign=top bgColor=#dddddd>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt; TEXT-ALIGN: center" align=center><FONT face="Times New Roman" size=3><SPAN style="FONT-SIZE: 12pt">TCP </SPAN></FONT></P></TD></TR></TBODY></TABLE></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"></SPAN></FONT></P></DIV>
<DIV><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">whois info:</SPAN></FONT></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Src 163.197.215.3 Dst 163.196.128.15</SPAN></FONT></P></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">ZA, South Africa</SPAN></FONT></P></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma"></SPAN></FONT></P></DIV>
<DIV>
<P class=MsoNormal style="MARGIN: 0in 0in 0pt"><FONT face=Tahoma size=2><SPAN style="FONT-SIZE: 10pt; FONT-FAMILY: Tahoma">Any Ideas</SPAN></FONT></P></DIV></DIV><BR>------------------------------------------------------------------------------<BR>Increase Visibility of Your 3D Game App & Earn a Chance To Win $500!<BR>Tap into the largest installed PC base & get more eyes on your game by<BR>optimizing for Intel(R) Graphics Technology. Get started today with the<BR>Intel(R) Software Partner Program. Five $500 cash prizes are up for grabs.<BR><A href="http://p.sf.net/sfu/intelisp-dev2dev" target=_blank>http://p.sf.net/sfu/intelisp-dev2dev</A><BR>_______________________________________________<BR>Snort-users mailing list<BR><A href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1844...ourceforge.net</A><BR>Go to this URL to change user options or unsubscribe:<BR><A href="https://lists.sourceforge.net/lists/listinfo/snort-users" target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users list archive:<BR><A href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR></BLOCKQUOTE></DIV><BR></BODY></HTML>