<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV>Dear Jason,</DIV>
<DIV> </DIV>
<DIV> If a client is not using proxy in its browser, DNS request will not go to proxy at all. So installing snort in proxy will not help on this.</DIV>
<DIV> </DIV>
<DIV> Can you suggest me more about this attack.. This attack says DNS query contains botnet CNC request only.</DIV>
<DIV> </DIV>
<DIV>Regards</DIV>
<DIV>BABU<BR><BR>--- On <B>Mon, 12/12/11, Jason Haar <I><Jason_Haar@...391...5306...></I></B> wrote:<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>From: Jason Haar <Jason_Haar@...15306...><BR>Subject: Re: [Snort-users] Need help to detect BOTNET-CNC Palevo bot DNSattack<BR>To: snort-users@lists.sourceforge.net<BR>Date: Monday, 12 December, 2011, 2:32 PM<BR><BR>
<DIV class=plainMail>That's the problem with "proxy" services - like DNS. You end up wishing<BR>you had snort installed on almost every server :-/<BR><BR>(we install snort on our proxies for this reason ;-)<BR><BR><BR>-- <BR>Cheers<BR><BR>Jason Haar<BR>Information Security Manager, Trimble Navigation Ltd.<BR>Phone: +1 408 481 8171<BR>PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<BR><BR><BR>------------------------------------------------------------------------------<BR>Learn Windows Azure Live!  Tuesday, Dec 13, 2011<BR>Microsoft is holding a special Learn Windows Azure training event for <BR>developers. It will provide a great way to learn Windows Azure and what it <BR>provides. You can attend the event by watching it streamed LIVE online.  <BR>Learn more at <A href="http://p.sf.net/sfu/ms-windowsazure" target=_blank>http://p.sf.net/sfu/ms-windowsazure</A><BR>_______________________________________________<BR>Snort-users
 mailing list<BR><A href="http://in.mc1373.mail.yahoo.com/mc/compose?to=Snort-users@lists.sourceforge.net" ymailto="mailto:Snort-users@...1844...ourceforge.net">Snort-users@lists.sourceforge.net</A><BR>Go to this URL to change user options or unsubscribe:<BR><A href="https://lists.sourceforge.net/lists/listinfo/snort-users" target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users list archive:<BR><A href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR><BR>Please visit <A href="http://blog.snort.org/" target=_blank>http://blog.snort.org</A> to stay current on all the latest Snort news!<BR></DIV></BLOCKQUOTE></td></tr></table>