<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7638.1">
<TITLE>RE: [Snort-users] Alerting on internal TCP connection attemptsto   non-existent services or hosts .</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Hi All,<BR>
   Before I forget - I just wanted to say thank you for your helpful responses!<BR>
<BR>
I've now resolved my problem which was ultimately related to the checksum preprocessor. I didn't realise that snort discards packets with bad checksums if checking is enabled and I'm seeing a fairly consistent 43% of all packets having bad sums. This would normally be worrying to me, but in the heavily virtualised environment I'm working in - it appears to be normal so I'm happy to run snort with checksums being ignored for the time being.<BR>
<BR>
Many thanks<BR>
Jonathan<BR>
<BR>
<BR>
-----Original Message-----<BR>
From: Stark, Vernon L. [<A HREF="mailto:Vernon.Stark@...383...">mailto:Vernon.Stark@...383...</A>]<BR>
Sent: Tue 03/12/2013 21:59<BR>
To: James Lay; snort-users@lists.sourceforge.net<BR>
Subject: Re: [Snort-users] Alerting on internal TCP connection attemptsto       non-existent services or hosts .<BR>
<BR>
We have good luck with rules that look for the SYN packet used to begin a TCP session.  So, you might try the following:<BR>
<BR>
alert tcp any any -> any 3389 (sid:100000; msg:"RDP Detected"; flags:S; )<BR>
<BR>
Vern<BR>
-----Original Message-----<BR>
From: James Lay [<A HREF="mailto:jlay@...13475...">mailto:jlay@...14624....</A>]<BR>
Sent: Tuesday, December 03, 2013 4:51 PM<BR>
To: snort-users@lists.sourceforge.net<BR>
Subject: Re: [Snort-users] Alerting on internal TCP connection attempts to non-existent services or hosts .<BR>
<BR>
On 2013-12-03 06:58, Jonathan Heard wrote:<BR>
> Alerting on internal TCP connection attempts to non-existent services<BR>
> or hosts<BR>
><BR>
> Hi All,<BR>
>  I'm trying to configure snort in a closed network (i.e. no internet)<BR>
> and I really want to be able to receive alerts if snort ever sees<BR>
> particular types of connection on the wire, regardless of whether it<BR>
> actually reaches a host. e.g. If someone so much as tries to establish<BR>
> a telnet or ftp connection from an internal host to any ip address, I<BR>
> want to know about it.<BR>
><BR>
>  Snort is running in passive mode and is receiving all traffic for<BR>
> analysis via an ERSPAN session (i.e. snort is decoding almost 100% GRE<BR>
> inbound). It's version "2.9.5.3 GRE (Build 132)" and I compiled it<BR>
> myself from source using mainly the default config options.<BR>
><BR>
>  At present a rule such as:<BR>
><BR>
>  alert tcp any any -> any 3389 (sid:100000; msg:"RDP Detected";)<BR>
><BR>
>  ...only fires when I establish a successful TCP connection between<BR>
> two hosts on the Monitored VLAN - This includes just using 'telnet<BR>
> <ip_address> 3389'. However if I use the IP address of either a<BR>
> non-existent server in the subnet, or a server which is not listening<BR>
> on port 3389 then snort doesn't log any alerts for this rule :-(<BR>
><BR>
>  If I run 'snort -v' I can see the captured TCP packet leaving the<BR>
> host which initiated the connection, so I know snort is seeing it -<BR>
> But I cannot find a way to make it react.<BR>
><BR>
>  The packet is represented by snort -v as follows (with some info<BR>
> redacted):<BR>
>  <Date/Time> <SRC_IP>:58978 -> <DEST_IP>:3389  TCP TTL: 128 TOS:0x0<BR>
> ID:XXXXX IpLen: 20 DgmLen:52 DF<BR>
>  ******S* Seq: 0xXXXXXXXX Ack: 0x0 Win: 0x2000 TcpLen: 32  TCP Options<BR>
> (6) => MSS: 1260 NOP WS: 8 NOP NOP SackOK<BR>
><BR>
>  I'm using the snort.conf which comes with the snort free subscription<BR>
> ruleset - I've tried stripping it back to a very basic config with<BR>
> most of the preprocessors and stock rules disabled but the behaviour<BR>
> remains the same.<BR>
><BR>
>  Is it possible to achieve this and if so how please?<BR>
><BR>
>  Many Thanks in advance<BR>
>  Jonathan<BR>
<BR>
Wonder if something like the below would work:<BR>
<BR>
alert tcp any 3389 -> any any (msg:"RDP RST Packet Detected"; flow:stateless; flags:RA+; sid:100000;)<BR>
<BR>
This should alert on the reset packet sent from the machine that doesn't have 3389 open on it.<BR>
<BR>
James<BR>
<BR>
------------------------------------------------------------------------------<BR>
Sponsored by Intel(R) XDK<BR>
Develop, test and display web and hybrid apps with a single code base.<BR>
Download it for free now!<BR>
<A HREF="http://pubads.g.doubleclick.net/gampad/clk?id=111408631&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=111408631&iu=/4140/ostg.clktrk</A><BR>
_______________________________________________<BR>
Snort-users mailing list<BR>
Snort-users@lists.sourceforge.net<BR>
Go to this URL to change user options or unsubscribe:<BR>
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
Snort-users list archive:<BR>
<A HREF="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</A><BR>
<BR>
Please visit <A HREF="http://blog.snort.org">http://blog.snort.org</A> to stay current on all the latest Snort news!<BR>
<BR>
------------------------------------------------------------------------------<BR>
Sponsored by Intel(R) XDK<BR>
Develop, test and display web and hybrid apps with a single code base.<BR>
Download it for free now!<BR>
<A HREF="http://pubads.g.doubleclick.net/gampad/clk?id=111408631&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=111408631&iu=/4140/ostg.clktrk</A><BR>
_______________________________________________<BR>
Snort-users mailing list<BR>
Snort-users@lists.sourceforge.net<BR>
Go to this URL to change user options or unsubscribe:<BR>
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>
Snort-users list archive:<BR>
<A HREF="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</A><BR>
<BR>
Please visit <A HREF="http://blog.snort.org">http://blog.snort.org</A> to stay current on all the latest Snort news!<BR>
<BR>
</FONT>
</P>

<font size="1">This message includes information that we consider will be prejudicial to our commercial interests if it is disclosed. If, pursuant to the provisions of the Freedom of Information Act 2000 (or any subordinate legislation or codes of practice), you receive any request to disclose and/or intend to disclose all or any of the Information you agree that you will consult with us before disclosing any such Information. In so consulting you will act reasonably and in good faith and will duly consider any representations we may make relating to the proposed disclosure or otherwise of such Information.
<br><br>
The information transmitted by this email is confidential and for the sole use of the intended recipient(s). If you are neither an intended recipient nor an employee or agent responsible for delivery to the intended recipient, you should be aware that any unauthorised review, use, disclosure or distribution is strictly prohibited.
<br><br>
If you have received this message in error please immediately contact the sender by return email and delete the original message and destroy all copies thereof.
<br><br>
Q Associates has taken every reasonable precaution to ensure that any attachment to this email has been checked for software viruses however the company cannot accept liability for any damages sustained as a result of a virus and would advise that you carry out your own virus checks before opening any attachment.</font>
</BODY>
</HTML>