<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><br></div><div>In the payload section the server IP =, your IP, Client IP and relay IP are all the same so that's the answer.</div><div>Thanks very much.</div><div><br></div><div>Phil.</div><div><br></div><div><br></div><br><div><div>On 26 May 2012, at 17:14, Balasubramaniam Natarajan wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Strange what do you see in the payload section ?<br><br><div class="gmail_quote">On Sat, May 26, 2012 at 5:42 PM, Philip Edwards <span dir="ltr"><<a href="mailto:phil.e@...15568..." target="_blank">phil.e@...15568...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
Hi,<br>
<br>
Can anyone hazard a guess why the sameip keyword is triggering an alarm on a DHCP request.<br>
The source is 0.0.0.0 the destination is 255.255.255.255<br>
The rule is the default: bad-traffic rule<br>
<br>
alert ip any any -> any any (msg:"BAD-TRAFFIC same SRC/DST"; sameip; reference:bugtraq,2666; reference:cve,1999-0016; reference:url,<a href="http://www.cert.org/advisories/CA-1997-28.html" target="_blank">www.cert.org/advisories/CA-1997-28.html</a>; classtype:bad-unknown; sid:527; rev:8;)<br>

<br>
phil@...15654...:~$ snort --version<br>
<br>
   ,,_     -*> Snort! <*-<br>
  o"  )~   Version 2.9.2 IPv6 GRE (Build 78)<br>
   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>
           Copyright (C) 1998-2011 Sourcefire, Inc., et al.<br>
           Using libpcap version 1.1.1<br>
           Using PCRE version: 8.12 2011-01-15<br>
           Using ZLIB version: 1.2.3.4<br>
<br>
<br>
<br>
I could add exceptions to filter this out but would i like to know why it's being triggered.<br>
<br>
Thanks<br>
<br>
Phil Edwards<br>
<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br><br clear="all"><br>-- <br>Regards,<br>Balasubramaniam Natarajan<br><a href="http://www.etutorshop.com/moodle/" target="_blank">www.etutorshop.com/moodle/</a><br><br>
</blockquote></div><br></body></html>