<div dir="ltr"><div><div><div><div><div>Hi everyone,<br><br></div>Sorry for the poor english but I will try my best. I will describe my problems after upgrading Snort rules.<br><br></div><div>Debian Linux 6.0.8 (kernel 2.6.32-5 x86_64)<br>


</div>Snort version: Version 2.9.6.0 GRE (Build 47) <br></div>Snort rules version: 2.9.6.0<br></div>pulledpork 0.7.0<br></div>barnyard2 2.1.13 build 327<br clear="all"><div><div><div><div><div><div><br></div><div>I was using Snort v.2.9.5.6 with snortrules-snapshot-2956 for a good time. I have upgraded to the latest version available and some issues occurred. If this is not the right place for asking, sorry for this. I will appreciate if someone can point me the right place to ask.<br>


<br></div><div>When I run snort with this command:<br><br></div><div>/usr/local/bin/snort -A console -u snort -g snort -c /etc/snort/eth1/snort_eth1.conf -i eth1<br><br></div><div>I can't get alerts and none events are registered. This is the output after I finish him (ctrl+c):<br>


<br></div><div>I got some errors like:<br>WARNING: /etc/snort/rules/snort.rules(15678) GID 1 SID 24017 in rule duplicates previous rule. Ignoring old rule.<br><br></div><div>But it moves on...<br><br></div><div>4539 Snort rules read (so I assume it is reading the<br>


    4208 detection rules<br>    0 decoder rules<br>    4 preprocessor rules<br>4212 Option Chains linked into 185 Chain Headers<br>0 Dynamic rules<br></div><div><br><br>Snort ran for 0 days 0 hours 3 minutes 10 seconds<br>


   Pkts/min:        39481<br>   Pkts/sec:          623<br><br>Packet I/O Totals:<br>   Received:       118443<br>   Analyzed:       118443 (100.000%)<br>    Dropped:            0 (  0.000%)<br>   Filtered:            0 (  0.000%)<br>


Outstanding:            0 (  0.000%)<br>   Injected:            0<br><br>Breakdown by protocol (includes rebuilt packets):<br>        Eth:       118567 (100.000%)<br>       VLAN:            0 (  0.000%)<br>        IP4:       118567 (100.000%)<br>


       Frag:            0 (  0.000%)<br>       ICMP:          411 (  0.347%)<br>        UDP:         4682 (  3.949%)<br>        TCP:       111664 ( 94.178%)<br><br></div><div>Here's the problem, this is the info that got me concerned:<br>


===============================================================================<br><b>Action Stats:<br>     Alerts:            0 (  0.000%)<br>     Logged:            0 (  0.000%)<br>     Passed:            0 (  0.000%)</b><br>


Limits:<br>      Match:            0<br>      Queue:            0<br>        Log:            0<br>      Event:            0<br>      Alert:            0<br>Verdicts:<br>      Allow:        82225 ( 69.422%)<br>      Block:            0 (  0.000%)<br>


    Replace:            0 (  0.000%)<br>  Whitelist:        36218 ( 30.578%)<br>  Blacklist:            0 (  0.000%)<br>     Ignore:            0 (  0.000%)<br><br><br></div><div>All of this traffic was not even registered. I think that I was supposed to get some alerts because of having a single file with all rules (pulledpork rule management). Isn't suppose to activate all rules by default?<br>


<br></div><div>This is my snort.conf file:<br>
<a href="http://pastebin.com/YWABcKsF">http://pastebin.com/YWABcKsF</a><br><br></div><div><br></div><div>Thanks in advance.</div><div>
<br><br>-- <br>Anacleto Júnior<div>Analista de TI e Redes<br>Linux User: #447388<br><br></div>
</div></div></div></div></div></div></div>