<div dir="ltr"><div><div><div><div><div><div>Hi to All,<br><br></div>    A/c to gregory and Wei Chea, I am attaching here the output of pcap file generated by wireshark.<br><br></div>    Steps I followed are:<br><br></div>
     1. I run snort in NIDS mode<br>
   <br></div>         snort -c /etc/snort/snort.conf -l /var/log/snort<br><br></div>     2. Then I start capture of packets on eth0 interface.<br><br></div>     3. I perform DoS flood attack output of which generated I am attaching here<br>

<div><div><div><br>         <a href="http://fpaste.org/36432/">http://fpaste.org/36432/</a><br><br></div><div>     Seeking for guidance,<br><br></div><div>     Thanks!!<br><br>PS. I was unable to send earlier as my setup is in the college.<b><br>
<br>--<br></b><div><b>Cheers,<br></b></div><div><b>Mayur</b>.<br></div><div><div class="h5"><div class="gmail_extra"><br></div></div></div><br></div><div><div><div> <br></div></div></div></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Aug 29, 2013 at 10:50 AM, Mayur Patil <span dir="ltr"><<a href="mailto:ram.nath241089@...11827..." target="_blank">ram.nath241089@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr"><div><div><div>Hi Greg,<br><br></div>  Please guide the location.<br><br></div>  Does it /var/log/snort/alert because as per my little knowledge this is the location which has generated result of snort rules.<br>

</div><div><br></div>  Thanks !<br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Aug 29, 2013 at 10:39 AM, Gregory W. MacPherson <span dir="ltr"><<a href="mailto:greg@...15873..." target="_blank">greg@...15873...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">There seems to be a communication problem...<br>
<br>
First the files you listed are *not* 'pcap' files. they are various<br>
libraries and programs that are used *with* pcap files.<br>
<br>
A "pcap' file is a packet capture that is generated by a program that is<br>
able to place the network interface into 'promiscuous' mode and<br>
'capture' the 'packets' that the interface receives. An example of a<br>
program that can 'generate' pcap files is wireshark (Google).<br>
<br>
What is being asked for is the output from such a program that can<br>
illustrate the network traffic that is being passed to/through your<br>
SNORT box.<br>
<br>
-- Greg<br>
<div><br>
<br>
On or about 2013.08.29 10:18:50 +0530, Mayur Patil (<a href="mailto:ram.nath241089@...11827..." target="_blank">ram.nath241089@...11827...</a>) said:<br>
<br>
> Hi,<br>
><br>
>    I have found pcap files on this locations please suggest which one<br>
> should I send ??<br>
><br>
><br>
> /var/lib/yum/yumdb/l/a73becfaf9eee2c429b69b930bd4c5339d089942-libpcap-1.0.0-6.20091201git117cb5.el6-x86_64<br>
>   /usr/share/doc/libpcap-1.0.0<br>
>   /usr/share/doc/libpcap-1.0.0/pcap.txt<br>
>   /usr/share/man/man7/pcap-filter.7.gz<br>
>   /usr/share/man/man7/pcap-linktype.7.gz<br>
>   /usr/share/texmf/tex/latex/oberdiek/hypcap.sty<br>
>   /usr/share/texmf/tex/latex/ltxmisc/topcapt.sty<br>
>   /usr/lib64/libpcap.so.1.0.0<br>
>   /usr/lib64/libpcap.so.1<br>
>   /usr/lib64/gstreamer-0.10/libgstpcapparse.so<br>
>   /usr/sbin/getpcaps<br>
>   /selinux/class/capability/perms/setpcap<br>
><br>
>   Seeking for guidance,<br>
><br>
>    Thanks!<br>
><br>
> <br>
><br>
> --<br>
</div>> *Cheers,<br>
> Mayur*<br>
<div>><br>
><br>
> On Tue, Aug 27, 2013 at 6:51 PM, Wei Chea Ang <<a href="mailto:weichea@...11827..." target="_blank">weichea@...11827...</a>> wrote:<br>
><br>
> > Can you share the pcap?<br>
> > On 27 Aug, 2013 7:53 PM, "Mayur Patil" <<a href="mailto:ram.nath241089@...11827..." target="_blank">ram.nath241089@...13704......</a>> wrote:<br>
> ><br>
> >> Hi,<br>
> >><br>
> >>   I have written rule<br>
> >><br>
> >>  alert tcp any any -> $HOME_NET 514 (msg:"DOS flood denial of service<br>
> >>  attempt";flow:to_server; detection_filter:track by_dst, count 50,<br>
> >> seconds 1;<br>
> >>  metadata:service syslog; classtype:attempted-dos; sid:25101; rev:1;)<br>
> >><br>
> >><br>
> >>   which generates alert for at random ports which are not on my<br>
> >> lists..fine<br>
> >><br>
> >>    But if I write port-specific it does not logging into alert file<br>
> >>    alert tcp [192.168.21.1,192.168.21.2] any -> $HOME_NET 514 (msg:"DOS<br>
> >>   flood denial of service attempt";flow:to_server; detection_filter:track<br>
> >> by_dst,<br>
> >>   count 50, seconds 1; metadata:service syslog; classtype:attempted-dos;<br>
> >>   sid:25101; rev:1;)<br>
> >><br>
> >>  what actually am I missing??<br>
> >><br>
> >>  Please help<br>
> >><br>
> >>  Thanks !<br>
> >><br>
> >><br>
> >><br>
> >><br></div></blockquote></div></div></div>
</blockquote></div><br><br clear="all"><br>-- <br><div dir="ltr"><b>Yours Sincerely,<br>Mayur</b><span style="font-weight:bold"> S. Patil,<br>ME COMP ENGG,<br>MITCOE,<br></span><span style="font-weight:bold">Pune.<br><br>
</span><span style="font-weight:bold"></span><div><span style="font-weight:bold">Contact : </span></div><div><b> </b><a href="https://www.facebook.com/mayurram" target="_blank"><img src="http://www.foamequipment.com/Portals/78693/images/Facebook-icon%2016x16.png"></a> <a href="https://twitter.com/RamMayur" target="_blank"><img src="http://t3.gstatic.com/images?q=tbn:ANd9GcT_Yarp6AuylZyOGqWulEymuad823QozjY---pAIg_yZESuzmjb"></a> <a href="https://plus.google.com/u/0/107426396312814346345/about" target="_blank"><img src="http://t1.gstatic.com/images?q=tbn:ANd9GcR5aTy2mSTpjuZHVNcU89LWfRKZn-LqVkqrUK-wTPnXMt62cw-qUg"></a> <a href="http://in.linkedin.com/pub/mayur-patil/35/154/b8b/" target="_blank"><img src="http://www.engr.wisc.edu/cmsimages/coe-linkedin-icon-19x19.png"></a>  <a href="http://stackoverflow.com/users/1528044/rammayur" target="_blank"><img src="http://www.destil.cz/images/stackoverflow.png"></a> <b> <a href="https://myspace.com/mayurram" target="_blank"><img src="http://sabedoriapopular.redeblogs.com.br/images/icon-myspace-16x16.gif"></a></b> <a href="https://github.com/ramlaxman" target="_blank"><img src="https://github.com/gadcam/Wappalyzer/diff_blob/f4b7ae6a9398b0d00371dca42abe55bfa756a999/drivers/firefox/skin/images/github.png?raw=true"></a><br>
<br><br><br></div></div>
</div></div>