thanks a lot again, its has worked.<br><br><div class="gmail_quote">2012/12/11 Y M <span dir="ltr"><<a href="mailto:snort@...15979..." target="_blank">snort@...15979...</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div dir="ltr">Corrections below.<br> <br><div><div></div><hr>To: <a href="mailto:lmpezente@...11827..." target="_blank">lmpezente@...14540...27...</a>; <a href="mailto:rcombs@...1935..." target="_blank">rcombs@...846....1935...</a><br>
From: <a href="mailto:snort@...15979..." target="_blank">snort@...16004......</a><br>Date: Tue, 11 Dec 2012 20:56:08 +0300<br>CC: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...635...eforge.net</a><div class="im">
<br>Subject: Re: [Snort-users] letdown, dos attempt not detecting<br><br>




</div><div>
<div style="font-family:Calibri,sans-serif;font-size:11pt">Because this is a custom rule, it has to be manually added at least for now to the sid-msg.map file, for example:<br>
<br>
1000024 || DOS syn attempt || url, <add the tool url for reference><div class="im"><br>
<br>
Also add the the URL to your Snort rule (and revision number too :) ). If the alert is showing in BASE as Snort Alert [1:1000024:1], which stands for gid:sid:rev , then you will have to update the "signature" table in the database, barnyard2 documents the update
 statement to execute.</div></div><div style="font-family:Calibri,sans-serif;font-size:11pt"> </div><div style="font-family:Calibri,sans-serif;font-size:11pt">Then you can add the tool to the local.rules file, and tell PulledPork if are using it to process local rules as part of its processing.<div>
<div class="h5"><br>
<br>
Thanks for the rule.<br>
<br>
YM</div></div></div>
</div><div><div class="h5">
<div dir="ltr">
<hr>
<span style="font-family:Calibri,sans-serif;font-size:11pt;font-weight:bold">From:
</span><span style="font-family:Calibri,sans-serif;font-size:11pt"><a href="mailto:lmpezente@...11827..." target="_blank">Leonardo Pezente</a></span><br>
<span style="font-family:Calibri,sans-serif;font-size:11pt;font-weight:bold">Sent:
</span><span style="font-family:Calibri,sans-serif;font-size:11pt">12/11/2012 8:41 PM</span><br>
<span style="font-family:Calibri,sans-serif;font-size:11pt;font-weight:bold">To:
</span><span style="font-family:Calibri,sans-serif;font-size:11pt"><a href="mailto:rcombs@...1935..." target="_blank">Russ Combs</a></span><br>
<span style="font-family:Calibri,sans-serif;font-size:11pt;font-weight:bold">Cc:
</span><span style="font-family:Calibri,sans-serif;font-size:11pt"><a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span><br>
<span style="font-family:Calibri,sans-serif;font-size:11pt;font-weight:bold">Subject:
</span><span style="font-family:Calibri,sans-serif;font-size:11pt">Re: [Snort-users] letdown, dos attempt not detecting</span><br>
<br>
</div>
<div>its really works, thanks. here is the rule:
<div><br>
<div>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"DOS syn attempt"; flags:S; flow:to_server; classtype:attempted-dos; detection_filter: track by_src, count 1000, seconds 40; sid:1000024;)</div>
<div><br>
</div>
<div>the only think is: i cant see the msg on BASE GUI, and this is a really interesting thing.<br>
<div>2012/12/11 Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...843.....1935..." target="_blank">rcombs@...1935...</a>></span><br>
<blockquote style="padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
<br>
<br>
<div>
<div>On Tue, Dec 11, 2012 at 11:45 AM, Leonardo Pezente <span dir="ltr">
<<a href="mailto:lmpezente@...11827..." target="_blank">lmpezente@...846....11827...</a>></span> wrote:<br>
<blockquote style="padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
im testing snort attacking it with a tool called "letdown".it is a tcp floder. The think is: im not able to detect what could be a potencial dos attack.
<div>Letdown generate like 65000 syn packets, so this should be detect fot snort. I have uncomment the dos and ddos rules, but no deal. so im tring to create a rule to detct this kind of traffic. Is that possible? any idea how i can do that?</div>

</blockquote>
<div><br>
</div>
</div>
<div>Check out Snort's README.filters.  There are rate_filter examples for 135:1 that you can start with. </div>
<blockquote style="padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
<br>
------------------------------------------------------------------------------<br>
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>
Remotely access PCs and mobile devices and provide instant support<br>
Improve your efficiency, and focus on delivering more value-add services<br>
Discover what IT Professionals Know. Rescue delivers<br>
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote>
</div>
<br>
</blockquote>
</div>
<br>
</div>
</div>
</div>


<br>------------------------------------------------------------------------------
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial
Remotely access PCs and mobile devices and provide instant support
Improve your efficiency, and focus on delivering more value-add services
Discover what IT Professionals Know. Rescue delivers
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users</a> list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>------------------------------------------------------------------------------
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial
Remotely access PCs and mobile devices and provide instant support
Improve your efficiency, and focus on delivering more value-add services
Discover what IT Professionals Know. Rescue delivers
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>_______________________________________________
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users</a> list archive:
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>

Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div></div></div>                                          </div></div>
</blockquote></div><br>