Sorry.<div><br></div><div>Anyone can address me to a documentation about tcp reset with flexresp3?</div><div><br></div><div>Thanks</div><div>Daniele</div><div><br><div><br><div class="gmail_quote">2012/5/4 Daniele Gallarato <span dir="ltr"><<a href="mailto:daniele.gallarato@...11827..." target="_blank">daniele.gallarato@...11827...</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Yes.<div><br></div><div>I don't understand well the difference between flexresp3 (previously I've used flexresp1, so I've tried to use flexresp3), and active-response.</div>
<div><br></div><div>If I configure </div>
<div><br></div><div>config response: device eth0 attempts 2<br><div><div><br></div><div><br></div><div>when snort hit a reset rule, it flood the network and I can't reach it anymore...</div><div><br></div><div>Thanks</div>

<div><br></div><div><br></div><div>* Flexresp3 is new: the resp rule option keyword is used to configure active</div><div>  responses for rules that fire.</div><div><br></div><div>    ./configure --enable-flexresp3</div>
<div>
<br></div><div>    alert tcp any any -> any 80 (content:"a"; resp:<resp_t>; sid:1;)</div><div><br></div><div>* resp_t includes all flexresp and flexresp2 options:</div><div><br></div><div>    <resp_t> ::= \</div>

<div>        rst_snd | rst_rcv | rst_all | \</div><div>        reset_source | reset_dest | reset_both | icmp_net | \</div><div>        icmp_host | icmp_port | icmp_all</div><div><br></div><div>See README.flexresp3 for more.</div>

</div><div><div class="h5"><div><br></div><div><br clear="all"><br><div class="gmail_quote">2012/5/4 Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...1935..." target="_blank">rcombs@...1935...</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="gmail_extra">Did you check README.active?<br><br><div class="gmail_quote"><div><div>On Fri, May 4, 2012 at 10:00 AM, Daniele Gallarato <span dir="ltr"><<a href="mailto:daniele.gallarato@...11827..." target="_blank">daniele.gallarato@...11827...</a>></span> wrote:<br>


</div></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div>Hello.<div><br></div><div>I've installed snort version 2.9.2.2 onto an ubuntu server (2.6.32-41-server #88-Ubuntu SMP).</div>


<div><br></div><div>I've followed this good guide:</div><div><br></div><div><a href="http://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CHsQFjAB&url=http%3A%2F%2Fwww.snort.org%2Fassets%2F158%2F014-snortinstallguide292.pdf&ei=zd-jT5vCBPTa4QSl0rifCQ&usg=AFQjCNGaL8nB1vZPRodUBX6IQluwufpbFQ&sig2=FqFj5w3hOXP1NBcn3gbxoQ" target="_blank">http://www.google.it/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CHsQFjAB&url=http%3A%2F%2Fwww.snort.org%2Fassets%2F158%2F014-snortinstallguide292.pdf&ei=zd-jT5vCBPTa4QSl0rifCQ&usg=AFQjCNGaL8nB1vZPRodUBX6IQluwufpbFQ&sig2=FqFj5w3hOXP1NBcn3gbxoQ</a></div>



<div><br></div><div>All seems to work properly.</div><div><br></div><div>Only thing that doesn't work is flexresp3.</div><div><br></div><div>In an old installation (2.4.3) with old flexresp, resets work.</div><div><br>



</div><div>In this new installation, I've compiled snort with:</div><div><br></div><div>./configure --prefix=/usr/local/snort --enable-sourcefire --enable-active-response --enable-flexresp3</div><div>make</div><div>make install</div>



<div><br></div><div>and written some local.rules (they work) and some reset.rules (they hit the rule, appear in reports, but doesn't reset).</div><div><br></div><div>Rule is:</div><div><br></div><div>alert tcp <my_ip> any -> $HOME_NET 3389 (resp: rst_all; msg:"Reset Sessioni Remote Desktop" ; sid:200004;)</div>



<div><br></div><div>I've also checked packets with wireshark, I can't see any reset.</div><div><br></div><div>Any help will be appreciated.</div><div><br></div><div>Thanks</div><span><font color="#888888"><div>
Daniele Gallarato<br><br>
</div>
</font></span><br></div></div>------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>
</blockquote></div><br></div></div></div></div>
</blockquote></div><br></div></div>