<br><br><div class="gmail_quote">On Fri, Aug 24, 2012 at 3:04 PM, Damien Hull <span dir="ltr"><<a href="mailto:dhull@...15333..." target="_blank">dhull@...15333...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I've snort installed but the rules don't seem to be working. Here's<br>
what I have.<br>
<br>
snort: 2.9.3.1<br>
snort rules: 2.9.2.3<br>
OS: Ubuntu 10.04 LTS<br>
Other: Barnyard2<br>
<br>
I know snort and barnyard2 are working. I added the following to<br>
local.rules and it works.<br>
          alert icmp any any -> any any (msg: "ICMP Packet found"; sid:1001;)<br>
<br>
I commented out the dynamic detection stuff because that wasn't<br>
loading. I was told my version of snort rules won't work with snort<br>
2.9.3.1<br>
          # path to dynamic rules libraries<br>
          # dynamicdetection directory /usr/local/snort/lib/snort_dynamicrules<br>
<br>
I have the scanning section configured. I thought that would allow me<br>
to scan the system and snort would trigger an alert. No such luck.<br>
         # Portscan detection.  For more information, see README.sfportscan<br>
         preprocessor sfportscan: proto  { all } scan_type { all }<br>
memcap { 10000000 } s$<br>
<br>
Why does the simple rule in local.rules work but a port scan doesn't<br>
get detected?<br><br></blockquote><div><br></div><div>Hiya Damien,</div><div><br></div><div>Sounds like maybe you're not loading your preprocessor.rules file.  The portscan rules are in that file, under preproc_rules.  Does this line exist in your current snort.conf:</div>
<div><br></div><div>var PREPROC_RULE_PATH ../preproc_rules</div><div><br></div><div><br></div><div>marcos</div></div>