<br><br><div class="gmail_quote">On Tue, Feb 28, 2012 at 2:52 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On 2/27/2012 03:39, Giacomo wrote:<br>
> Hi there,<br>
><br>
> I recently started using Snort. After enabling the (default) preprocessor configuration I started receiving very large amounts of events regarding stream5.<br>
> Since it is a server that is not being used for anything I assume this event is generated by my SSH connection. A couple of topics have discussed this but none come with a very clear answer why this is occurring and how you can solve it.<br>

> The only two suggestions I found was to change the max_tcp value in stream5_global or increase the memcap. But both of these suggestions don't work. So I am wondering if any one of you has an idea why this is occurring and what I can do about it.<br>

<br>
</div>what, exactly, are the SIDs being reported? the items you saw are for one or two<br>
things but stream5 can alert on numerous items...<br>
<br>
here's what the snort-2.9.2.1's README.stream5 has to say...<br>
<br>
Alerts<br>
======<br>
Stream5 uses generator ID 129. It is capable of alerting on 10 anomalies, all of<br>
which relate to TCP anomalies. There are no anomaly detection capabilities for<br>
UDP or ICMP.<br>
<br>
SID   Description<br>
---   -----------<br>
1     SYN on established session<br>
2     Data on SYN packet<br>
3     Data sent on stream not accepting data<br>
4     TCP Timestamp is outside of PAWS window<br>
5     Bad segment, overlap adjusted size less than/equal 0<br>
6     Window size (after scaling) larger than policy allows<br>
7     Limit on number of overlapping TCP packets reached<br>
8     Data after Reset packet<br>
9     Possible Hijacked Client<br>
10    Possible Hijacked Server<br>
11    TCP packet with any control flags set<br>
12    Limit on number of consecutive small segments reached<br>
13    4-way handshake detected<br>
14    Packet missing timestamp<br>
<br>
<br>
[ yes, there's a typo up there where it says 10 anomalies and then shows 14 of<br>
them ;) ]<br></blockquote><div><br></div><div>It's actually more than that:</div><div><br></div><div>$ grep "^129" ../etc/gen-msg.map</div><div>129 || 1 || stream5: SYN on established session</div><div>129 || 2 || stream5: Data on SYN packet</div>
<div>129 || 3 || stream5: Data sent on stream not accepting data</div><div>129 || 4 || stream5: TCP Timestamp is outside of PAWS window</div><div>129 || 5 || stream5: Bad segment, overlap adjusted size less than/equal 0</div>
<div>129 || 6 || stream5: Window size (after scaling) larger than policy allows</div><div>129 || 7 || stream5: Limit on number of overlapping TCP packets reached</div><div>129 || 8 || stream5: Data sent on stream after TCP Reset</div>
<div>129 || 9 || stream5: TCP Client possibly hijacked, different Ethernet Address</div><div>129 || 10 || stream5: TCP Server possibly hijacked, different Ethernet Address</div><div>129 || 11 || stream5: TCP Data with no TCP Flags set</div>
<div>129 || 12 || stream5: TCP Small Segment Threshold Exceeded</div><div>129 || 13 || stream5: TCP 4-way handshake detected</div><div>129 || 14 || stream5: TCP Timestamp is missing</div><div>129 || 15 || stream5: Reset outside window</div>
<div>129 || 16 || stream5: FIN number is greater than prior FIN</div><div>129 || 17 || stream5: ACK number is greater than prior FIN</div><div>129 || 18 || stream5: Data sent on stream after TCP Reset received</div><div>129 || 19 || stream5: TCP window closed before receiving data</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
------------------------------------------------------------------------------<br>
Keep Your Developer Skills Current with LearnDevNow!<br>
The most comprehensive online learning library for Microsoft developers<br>
is just $99.99! Visual Studio, SharePoint, SQL - plus HTML5, CSS3, MVC3,<br>
Metro Style Apps, more. Free future releases when you subscribe now!<br>
<a href="http://p.sf.net/sfu/learndevnow-d2d" target="_blank">http://p.sf.net/sfu/learndevnow-d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br>