<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>
<div>
<div>You may need to adjust your wireshark settings. Wireshark lists them as “malformed ISAKMP” packets.</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(31, 73, 125);">Albert Lewis<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(166, 166, 166);">QA SNORT/Sourcefire</span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(166, 166, 166);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">SOURCE</span><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: red;">fire</span></b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">,
 Inc. </span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);">now part of </span><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(49, 132, 155);">Cisco</span></b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">Phone: (office) </span><span style="font-size: 12pt; font-family: Candara, sans-serif;">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt; font-family: Candara, sans-serif;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></p>
</div>
<br>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Andrei_1980 <<a href="mailto:andrei_1980@...1975...">andrei_1980@...1975...</a>><br>
<span style="font-weight:bold">Date: </span>Saturday, June 25, 2016 at 5:01 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>>, 'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] why UDP disc acquire?<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div bgcolor="#FFFFFF" text="#000000">Why you think that udp packet malformed? Tools like wireshark, tcpdump and tcpreplay handle it correctly.  This packets have only wrong checksum, but i disable checksum control in Snort by using option "-k none".
<br>
<br>
<br>
<br>
<div class="moz-cite-prefix">24.06.2016 19:05, Al Lewis (allewi) пишет:<br>
</div>
<blockquote cite="mid:69B99C3D-666F-44B9-A98B-44E985AF47A3@...589..." type="cite">
<div>
<div>
<div><br>
</div>
<div>It looks like snort is discarding them because they are all malformed.</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<b><span style="font-size: 12pt;
                      font-family: Candara, sans-serif; color: rgb(31,
                      73, 125);">Albert Lewis<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(166,
                    166, 166);">QA SNORT/Sourcefire</span><span style="font-size: 12pt; font-family: Candara,
                    sans-serif; color: rgb(166, 166, 166);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(153,
                    153, 153);">SOURCE</span><b><span style="font-size:
                      12pt; font-family: Candara, sans-serif; color:
                      red;">fire</span></b><span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(153,
                    153, 153);">,
 Inc. </span><span style="font-size:
                    12pt; font-family: Candara, sans-serif; color:
                    rgb(136, 136, 136);">now part of </span><b><span style="font-size: 12pt; font-family: Candara,
                      sans-serif; color: rgb(49, 132, 155);">Cisco</span></b><span style="font-size: 12pt; font-family: Candara,
                    sans-serif; color: rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(153,
                    153, 153);">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-size:
                    12pt; font-family: Candara, sans-serif; color:
                    rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(153,
                    153, 153);">Phone: (office) </span><span style="font-size: 12pt; font-family: Candara,
                    sans-serif;">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt;
                  font-size: 11pt;">
<span style="font-size: 12pt;
                    font-family: Candara, sans-serif; color: rgb(153,
                    153, 153);">Email: </span><span style="font-size:
                    12pt; font-family: Candara, sans-serif;"><a moz-do-not-send="true" href="mailto:allewi@...589..." style="color:
                      purple;"></a><a class="moz-txt-link-abbreviated" href="mailto:allewi@...589...">allewi@...589...</a><span style="color:
                      rgb(79, 129, 189);"> </span></span></p>
</div>
<br>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt;
          text-align:left; color:black; BORDER-BOTTOM: medium none;
          BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT:
          0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid;
          BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Andrei_1980 <<a moz-do-not-send="true" href="mailto:andrei_1980@...1975..."></a><a class="moz-txt-link-abbreviated" href="mailto:andrei_1980@...1975...">andrei_1980@...1975...</a>><br>
<span style="font-weight:bold">Date: </span>Friday, June 24, 2016 at 11:28 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a moz-do-not-send="true" href="mailto:allewi@...589..."></a><a class="moz-txt-link-abbreviated" href="mailto:allewi@...589...">allewi@...589...</a>>, 'snort-users' <<a moz-do-not-send="true" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] why UDP disc acquire?<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">hmm, strange. I,m attach pcap to first message. Ok reatach to this message.
<br>
<br>
On 24.06.2016 18:22, Al Lewis (allewi) wrote:<br>
</div>
<blockquote cite="mid:C900FFE6-9F56-4D9E-A00D-06CC4A7B6E51@...589..." type="cite">
<div>
<div>
<div>Hello,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>Can you provide us with the pcap or a sample of it?</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt;
                                font-family: Candara, sans-serif; color:
                                rgb(31, 73, 125);">Albert Lewis<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(166, 166,
                              166);">QA SNORT/Sourcefire</span><span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(166, 166,
                              166);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(153, 153,
                              153);">SOURCE</span><b><span style="font-size: 12pt; font-family:
                                Candara, sans-serif; color: red;">fire</span></b><span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(153, 153,
                              153);">,
 Inc. </span><span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(136, 136,
                              136);">now part of </span><b><span style="font-size: 12pt; font-family:
                                Candara, sans-serif; color: rgb(49, 132,
                                155);">Cisco</span></b><span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(136, 136,
                              136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(153, 153,
                              153);">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(136, 136,
                              136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(153, 153,
                              153);">Phone: (office) </span><span style="font-size: 12pt; font-family:
                              Candara, sans-serif;">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in
                            0.0001pt; font-size: 11pt;">
<span style="font-size: 12pt; font-family:
                              Candara, sans-serif; color: rgb(153, 153,
                              153);">Email: </span><span style="font-size: 12pt; font-family:
                              Candara, sans-serif;"><a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:allewi@...589..."></a><a class="moz-txt-link-abbreviated" href="mailto:allewi@...589...">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></p>
</div>
<br>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt;
                    text-align:left; color:black; BORDER-BOTTOM: medium
                    none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in;
                    PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP:
                    #b5c4df 1pt solid; BORDER-RIGHT: medium none;
                    PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Andrei_1980 <<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:andrei_1980@...1975...">andrei_1980@...1975...</a>><br>
<span style="font-weight:bold">Date: </span>Friday, June 24, 2016 at 11:06 AM<br>
<span style="font-weight:bold">To: </span>'snort-users' <<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] why UDP disc acquire?<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div bgcolor="#FFFFFF" text="#000000">Hi all. I use snort 2.9.8.2 A have some pcap file for old attack (see attach) .  It contain only udp packets.
<br>
I wrote test rule:  <br>
<br>
alert udp any 500 -> any 500 (msg:"DOS Nbisakmp"; classtype: attempted-dos; sid:1000001; rev:1;)<br>
<br>
and run snort: <br>
<br>
snort  -c ./etc/snort.conf -A console -K none  -k none  -r ./pcaps/DOS_Nbisakmp.pcap<br>
<br>
and get no alerts. In output stats i have:  <br>
<br>
...........<br>
Packet I/O Totals:<br>
   Received:          100<br>
   Analyzed:          100 (100.000%)<br>
    Dropped:            0 (  0.000%)<br>
   Filtered:            0 (  0.000%)<br>
Outstanding:            0 (  0.000%)<br>
   Injected:            0<br>
.....................<br>
<br>
Breakdown by protocol (includes rebuilt packets):<br>
        Eth:          100 (100.000%)<br>
       VLAN:            0 (  0.000%)<br>
        IP4:          100 (100.000%)<br>
       Frag:            0 (  0.000%)<br>
       ICMP:            0 (  0.000%)<br>
        UDP:          100 (100.000%)<br>
...................<br>
<b> UDP Disc:          100 (100.000%)</b><br>
  ICMP Disc:            0 (  0.000%)<br>
All Discard:          100 (100.000%)<br>
<br>
(full output and snort.conf see in attach)<br>
<br>
<br>
If i change rule  (udp to ip)  :<br>
<br>
alert <b>ip</b> any 500 -> any 500 (msg:"DOS Nbisakmp"; classtype: attempted-dos; sid:1000001; rev:1;)<br>
all packets generate alerts.  <br>
<br>
<br>
So, why UDP packets in sample pcap discarded if i use udp protocol in alert?<br>
</div>
</div>
</span></span></blockquote>
<br>
</div>
</div>
</span></span></blockquote>
<br>
</div>
</div>
</span></span>
</body>
</html>