<div dir="ltr"><div><div>Hello All,  I have used rule <br><br> alert tcp any any -> $HOME_NET 514 (msg:"DOS flood denial of service  <br> attempt";flow:to_server; detection_filter:track by_dst, count 50, seconds 1; <br>

 metadata:service syslog; classtype:attempted-dos; sid:25101; rev:1;)<br><br><br><div>  which generates alert for at random ports which are not on my lists..fine<br><br></div><div>   But if I write port-specific it does not logging into alert file<br>

</div>   alert tcp [192.168.21.1,192.168.21.2] any -> $HOME_NET 514 (msg:"DOS <br>  flood denial of service attempt";flow:to_server; detection_filter:track by_dst,   <br>  count 50, seconds 1; metadata:service syslog; classtype:attempted-dos;  <br>

  sid:25101; rev:1;)</div><br><br></div>  what I done is as follows:<br><div><div>  <br>  I am attaching here the output of pcap file generated by wireshark.<br><br>
     1. I run snort in NIDS mode<br>
   <br>         snort -c /etc/snort/snort.conf -l /var/log/snort<br><br>     2. Then I start capture of packets on eth0 interface.<br><br>     3. I perform DoS flood attack output of which generated I am attaching here<br>


<div><br>         <a href="http://fpaste.org/36432/" target="_blank">http://fpaste.org/36432/</a><br><br></div><div>     Seeking for guidance,<br> <br></div><div>     Please help,<br></div><div><br></div>     Thanks!!<br>
<br></div><br><div><div><div><div>-- <br><div dir="ltr"><b>Cheers,<br>Mayur</b><span style="font-weight:bold"></span><br></div>
</div></div></div></div></div></div>