<p dir="ltr">Hi Joel,</p>
<p dir="ltr">But according to snort user manual, stream5 check_session_hijacking option is based on mac address checking on both side of a communication.</p>
<p dir="ltr">More exactly:<br>
" Check for TCP session hijacking. This check validates the hardware (MAC) address from both sides of the connect - as established on the 3-way handshake against subsequent packets received on the session. If an ethernet layer is not part of the protocol stack received by Snort, there are no checks performed. Alerts are generated (per 'detect_anomalies' option) for either the client or server when the MAC address for one side or the other does not match. The default is set to off."</p>

<div class="gmail_quote">On Aug 19, 2014 4:24 PM, "Joel Esler (jesler)" <<a href="mailto:jesler@...589...">jesler@...589...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">




<div style="word-wrap:break-word">
Stream5 does not do mac address tracking.
<div><br>
</div>
<div><br>
<div>
<blockquote type="cite">
<div>On Aug 19, 2014, at 4:16 AM, Meysam Farazmand <<a href="mailto:farazmand.meisam@...11827..." target="_blank">farazmand.meisam@...11827...</a>> wrote:</div>
<br>
<div>
<p dir="ltr">Hi Waldo,</p>
<p dir="ltr">Thank you for reply.yes you're right. I am doing a project with snort and my project manager wants me to test snort session hijacking detection capability. If we assume that attacker does not use spoofed MAC address, similarity between session
 hijacking and mitm is that in both, MAC address of on side changes. So snort should detect this MAC address changing with stream5. Is it correct?</p>
<div class="gmail_quote">On Aug 17, 2014 9:27 PM, "waldo kitty" <<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...979...14940...</a>> wrote:<br type="attribution">
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
On 8/17/2014 5:37 AM, Meysam Farazmand wrote:<br>
> Hi all,<br>
><br>
> I used "check_session_hijacking" in stream5 preprocessor for session hijacking<br>
> attacks detection and launched a mitm attack. But snort did not detect it.<br>
<br>
session hijacking and mitm are not the same...<br>
<br>
session hijacking is where you take over or continue with someone's existing or<br>
previous session...<br>
<br>
mitm is where you are in the middle and have valid sessions with both parties<br>
and pass their traffic across while doing what you want with it in the middle...<br>
<br>
<br>
--<br>
  NOTE: No off-list assistance is given without prior approval.<br>
        Please *keep mailing list traffic on the list* unless<br>
        private contact is specifically requested and granted.<br>
<br>
------------------------------------------------------------------------------<br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote>
</div>
------------------------------------------------------------------------------<br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br>
</div>
</div>

</blockquote></div>