Lots of good ideas but we really need more data.  Please run Snort and capture all output, including shutdown stats, to a file and send that.  If you run from command line, just redirect stderr to a file.<br><br><div class="gmail_quote">
On Tue, Dec 11, 2012 at 5:15 AM, Peter Bates <span dir="ltr"><<a href="mailto:peter.bates@...15381..." target="_blank">peter.bates@...16006.....</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
<br>
Hello all<br>
<div class="im"><br>
On 10/12/2012 19:15, Y M wrote:<br>
> Snort statistics, some of it at least:<br>
><br>
> ICMP: 0.186%<br>
> UDP: 17.929%<br>
> TCP: 48.667%<br>
> Dropped: 0<br>
> Analyzed: 247964 (100%)<br>
<br>
</div>It's a long shot, but I have seen this on a sensor<br>
that was only receiving one side of conversations due<br>
to a misconfiguration on the SPAN side (not all VLANs had been added<br>
to the monitoring session for in/out).<br>
<br>
The ICMP and UDP rules (particularly things like ZeroAccess) will always<br>
hit if you're seeing outbound only but the TCP rules that track state<br>
(using flowbits) will obviously never alert.<br>
<br>
It might be worth looking at a tcpdump from a specific source/destination<br>
just to confirm you are seeing outbound and inbound.<br>
<br>
- --<br>
Peter Bates<br>
Senior Information Security Officer   Phone: <a href="tel:%2B44%280%292076792049" value="+442076792049">+44(0)2076792049</a><br>
Information Services Division         Internal Ext: 32049<br>
University College London<br>
London WC1E 6BT<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with undefined - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
iQEcBAEBAgAGBQJQxwfdAAoJELhVoVpEMS6RAQsH/jz9hN/HL9MmJmAMi9yAlbZH<br>
6TKx5TbXMy9wlxhcjYMiRiAlPad2mM1dEkr7JFVJoRmD6XTjtrZjWPG6Ybbkz4yI<br>
BTOdILXG4safHgg3kOkBKCAJTWzbRwUBC/MTv9cnk35GLT4XirjtUzJ+vjb4n/sH<br>
0gdhwpspMCg7PE3UWUz3prQzIc8rzt4P0ZdOpr2ItnMc+9TxoN6lfhZ8b7R15Wmn<br>
zuTEzJqPAcI2K1Zak4dvkf4+XvdljdEFoF0li/RJXSvySb0x4nmTqGnY5vPD1vzQ<br>
0gRlF+DqDVMpA2l5x50d8a02AmmK4IvUECL+db2+Ke9O2IVSAcV91yZpzNB/eZY=<br>
=tMDa<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
------------------------------------------------------------------------------<br>
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>
Remotely access PCs and mobile devices and provide instant support<br>
Improve your efficiency, and focus on delivering more value-add services<br>
Discover what IT Professionals Know. Rescue delivers<br>
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br>