<br><br><div class="gmail_quote">On Tue, Jun 4, 2013 at 4:04 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">On 6/4/2013 15:36, JJC wrote:<br>
> Yes, the IP Rep preprocessor works in passive mode just like it does in inline<br>
> mode, other than drop of course.<br>
<br>
</div>correct on the drop method... we don't even use it :)<br>
<br>
i'll have to dig and see if there is/was a bug that was fixed from 2.9.4.1 to<br>
the latest snort versions... i whitelisted a CIDR block and they still generate<br>
alerts... specifically, we saw alerts on 129:20 when snort was reloading after<br>
setting the CIDR block in the whitelist file and bouncing snort with a complete<br>
exit and startup... we've also seen 128:4 when sshing into that sensor on a<br>
non-standard port but we DO have that non-standard port listed in the ssh config<br>
section of snort.conf... these alerts happen for only a short time and then<br>
snort seems to settle down and stop issuing them even though those same<br>
connections are still active or being terminated and restarted again...<br></blockquote><div><br>Do you have stream5_tcp: require_3whs set?  That might help reach steady state sooner. <br></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>
i've just tested again an hour after the above alerts were logged and am seeing<br>
the same alerts as noted above... the traffic is very light compared to what<br>
many systems see... it is only a 100M internal LAN... there /may/ be some<br>
swapping going on on that test sensor... i'm seeing 7M of swap space currently<br>
used but i really don't think that that is getting in the way here...<br></blockquote><div><br>Do you have reputation: white trust set?  Default is to unblack (not trust).<br><br>Also, you may need to set reputation: scan_local if the alerts are on local addresses. <br>
</div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im HOEnZb"><br>
<br>
> On Tue, Jun 4, 2013 at 1:27 PM, waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a><br>
</div><div class="HOEnZb"><div class="h5">> <mailto:<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>>> wrote:<br>
><br>
><br>
>     does the reputation preprocessor work in IDS (non-inline) mode?<br>
><br>
>     eg: if one places an IP in the whitelist, that IP still generates alerts. it<br>
>     should not, should it? shouldn't it just pass right on thru all processing?<br>
<br>
<br>
--<br>
NOTE: No off-list assistance is given without prior approval.<br>
       Please keep mailing list traffic on the list unless<br>
       private contact is specifically requested and granted.<br>
<br>
------------------------------------------------------------------------------<br>
How ServiceNow helps IT people transform IT departments:<br>
1. A cloud service to automate IT design, transition and operations<br>
2. Dashboards that offer high-level views of enterprise services<br>
3. A single system of record for all IT processes<br>
<a href="http://p.sf.net/sfu/servicenow-d2d-j" target="_blank">http://p.sf.net/sfu/servicenow-d2d-j</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br>