<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Aug 30, 2013 at 7:13 AM, James Lay <span dir="ltr"><<a href="mailto:digitalx00@...11827..." target="_blank">digitalx00@...14540...27...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div class="h5"><br><div><div>On Aug 29, 2013, at 6:03 AM, Антон Половцев <<a href="mailto:etc.secure@...11827..." target="_blank">etc.secure@...14542....</a>> wrote:</div>
<br><blockquote type="cite"><div dir="ltr"><p><span lang="EN-US">Hello,
community!</span></p><p><span lang="EN-US">I'm
testing snort (2.9.4) and have some questions about Stream5.</span></p><p><span lang="EN-US">There
are 2 abstract subnetworks in my scenario, <a href="http://172.16.34.0/24" target="_blank">172.16.34.0/24</a> and <a href="http://10.14.1.0/24" target="_blank">10.14.1.0/24</a>. Both subnets are monitored with separate snort sensors. Some host from second subnet (linux 2.6.X) makes connection (TCP) to host from first subnet (AIX 6). Stream5 is configured to apply "linux" policy to host with linux and "bsd" policy to AIX (according to manual). Each tcp keepalive makes nothing with sensor in subnet with linux host but generates an alert in the "AIX subnet": 129-14 stream5: TCP Timestamp is missing. I dumped this kind of packets and found out that tcp keepalive frame from AIX machine doesn't contain any tcp opts. Of course, "tcp timestamp is missing". I tried to google_it and discover, that it is common behavior of AIX. Wrong policy "bsd" for AIX? Anomaly detection is off.<br>
</span></p></div></blockquote></div></div></div></div></blockquote><div></div><div>Thanks, we have a bug open to update target-based stuff. <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word"><div><div class="h5"><div><blockquote type="cite"><div dir="ltr"><p><span lang="EN-US">
</span></p><p><span lang="EN-US">And another thing, for my understanding. Preprocessor's stream5 option "ports" (values client/server/both) - how to manage right direction, manual didn't answer on 100%. Host or network, to which we apply the policy is considered as server? And all connection from this host/subnet to others are considered as "client's"?</span></p>
</div></blockquote></div></div></div></div></blockquote><div>The ports you configure are always server ports.  The client / server / both setting determines which side of the connection to reassemble.  For example, "ports client 80" means reassemble only the client side of connections to server port 80. <br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div><div class="h5"><div><blockquote type="cite"><div dir="ltr"><p><span lang="EN-US">P.S. pcap with AIX's tcp keepalive in attachement. Thanks in advance for responses.<br>
</span></p>

</div>
<br></blockquote></div><br></div></div><div>Make sure both subnets are in your HOME_NET.  And you can add the sig that's firing off to your threshold.conf file.</div><span class="HOEnZb"><font color="#888888"><div><br>
</div><div>James</div></font></span></div><br>------------------------------------------------------------------------------<br>
Learn the latest--Visual Studio 2012, SharePoint 2013, SQL 2012, more!<br>
Discover the easy way to master current and previous Microsoft technologies<br>
and advance your career. Get an incredible 1,500+ hours of step-by-step<br>
tutorial videos with LearnDevNow. Subscribe today and save!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=58040911&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=58040911&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div></div>