<div dir="ltr"><div><div><div>You can start by using the dump DAQ to see that you are alerting and generating responses.  Comment out the "config response" line and add "--daq dump" to your Snort command line.  Then do your test and check that the resulting inline-out.pcap has your response(s) as expected.<br>
<br></div>If that is working, it is a matter of getting your config response to work correctly.<br><br></div>Hope that helps.<br></div>Russ<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Sep 19, 2013 at 4:07 AM, Anton <span dir="ltr"><<a href="mailto:warm@...16536...77..." target="_blank">warm@...2377...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Good day.<br>
<br>
I'm trying to set up snort with active response in passive mode. Here is my setup:<br>
<br>
<br>
[switch port with mirrored 802.1q traffic]===[eth0 used for monitoring only]-[PC with snort]-[eth4 used for management<br>
and has network access]===[network]<br>
<br>
So, I have compiled snort-2.9.5.5 with<br>
<br>
./configure \<br>
  --prefix=/usr \<br>
  --sysconfdir=/etc \<br>
  --mandir=/usr/man \<br>
  --localstatedir=/var \<br>
  --enable-pthread \<br>
  --enable-linux-smp-stats \<br>
  --enable-zlib \<br>
  --enable-active-response --enable-react --enable-flexresp3<br>
<br>
<br>
I've read instructions from README.active<br>
<br>
preprocessor stream5_global: \<br>
   track_tcp yes, \<br>
   track_udp no, \<br>
   track_icmp no, \<br>
   max_tcp 262144, \<br>
   max_udp 131072, \<br>
   max_active_responses 4, \<br>
   min_response_seconds 2<br>
<br>
...<br>
# this was not required but I select only 80 port for better performance.<br>
preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, \<br>
   overlap_limit 10, small_segments 3 bytes 150, timeout 180, \<br>
    ports server \<br>
        80 \<br>
        , \<br>
    ports both 80 3128 \<br>
        8080<br>
...<br>
<br>
config response: device eth4 dst_mac 00:1a:30:62:7c:40 attempts 2 # this is MAC of the default gateway<br>
<br>
<br>
I have test rule:<br>
<br>
drop tcp any any -> any 80 (msg:"TEST0";\<br>
        content:"TEST0";\<br>
        resp:reset_source;\<br>
        sid:1;)<br>
<br>
I start snort like this:<br>
<br>
snort   -q \<br>
        --daq-var buffer_size_mb=128MB \<br>
        --treat-drop-as-alert \<br>
        -n 10000000 \<br>
        -i eth0 \<br>
        -l /var/log/snort \<br>
        -K none \<br>
        -c /etc/snort/snort.conf \<br>
        -A console \<br>
        -F 'bpf-file'<br>
<br>
bpf-file contains filter for test machine only. It looks like "vlan and host X.X.X.65". vlan because it selects 802.1q<br>
frames.<br>
<br>
I start snort then I do "telnet somehost 80"  and print TEST0. Somehost prints HTML page:<br>
<br>
<html><br>
<head><title>400 Bad Request</title></head><br>
<body bgcolor="white"><br>
<center><h1>400 Bad Request</h1></center><br>
<hr><center>nginx</center><br>
</body><br>
</html><br>
<br>
and closes connection. Snort does not send anything but it writes alert messages to the console - snort can see<br>
traffic described in rule. I tried to start "tcpdump -ni eth4 'host X.X.X.65'" on snort machine - it does not send<br>
anything to X.X.X.65 at all.<br>
<br>
Active response can be workable or can be unworkable but snort should send some reset packets to X.X.X.65 but is does<br>
not.<br>
<br>
How to find out the reason on which snort does not send rst (or other) packets ? If snort in passive mode should not<br>
send any active response - why ? Documentation says that it should send rst in passive mode.<br>
<br>
"Configure the number of attempts to land a TCP RST within the session's current window (so that it is accepted by the<br>
receiving TCP). This sequence "strafing" is really only useful in passive mode." - from documentation<br>
(<a href="http://manual.snort.org/node26.html" target="_blank">http://manual.snort.org/node26.html</a>).<br>
<br>
------------------------------------------------------------------------------<br>
LIMITED TIME SALE - Full Year of Microsoft Training For Just $49.99!<br>
1,500+ hours of tutorials including VisualStudio 2012, Windows 8, SharePoint<br>
2013, SQL 2012, MVC 4, more. BEST VALUE: New Multi-Library Power Pack includes<br>
Mobile, Cloud, Java, and UX Design. Lowest price ever! Ends 9/20/13.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=58041151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=58041151&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote></div><br></div>