<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
We generally don’t write any thresholds (unless we have to for some reason) in any rule.  We try to leave those configurable to the user.
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div class=""><b style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><font color="#5e5e5e" class="">--</font></b></div>
<div style="font-size: 14px;" class=""><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#5e5e5e" class="">Joel Esler </font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class="">| </span><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#0096ff" class="">Talos:</font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class=""> M</span><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 12px;" class="">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Jan 23, 2017, at 11:16 AM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;" class="">
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Ok Joel,</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class="">
</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">So, from your words I understand that rules uploaded by the community don't has any threshold by default, and it is each user who has to configure it according with "one's tastes". So, for the same
 attack I could have 2000 alerts while other user could have just one. </div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">It would make more sense. I couldn't understand why just one packet could trigger a DDoS alert, while I thought that a DDoS attack was created to send a big amount of packets per second to the target.</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">So I now noticed that my idea of a DDoS attack and snort rules weren't wrong but yes taking for granted that I could detect real DDoS attacks by downloading rules and without modified them.</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">I suppose that uploaded rules are good to have known signatures of packets sent in attacks. Then I have to configure thresholds by myself.</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class=""><br class="">
</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Thanks</div>
</div>
<hr tabindex="-1" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline-block; width: 2722.4375px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class=""></span>
<div id="divRplyFwdMsg" dir="ltr" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<font face="Calibri, sans-serif" style="font-size: 11pt;" class=""><b class="">From:</b><span class="Apple-converted-space"> </span>Joel Esler (jesler) <<a href="mailto:jesler@...589..." class="">jesler@...589...</a>><br class="">
<b class="">Sent:</b><span class="Apple-converted-space"> </span>23 January 2017 15:35:26<br class="">
<b class="">To:</b><span class="Apple-converted-space"> </span>Ana Serrano Mamolar<br class="">
<b class="">Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [Snort-users] Detecting DDoS attacks with Snort</font>
<div class=""> </div>
</div>
<div style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
You can make one threshold, as a global threshold, that will threshold all rules.  That example is in the threshold.conf IIRC.
<div class=""><br class="">
</div>
<div class="">That being said, some users of Snort want<span class="Apple-converted-space"> </span><i class="">every</i> alert.  So while you may not, many people do.  It’s up to each user of Snort to configure it how they want.</div>
<div class=""><br class="">
<div class="">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class=""><b class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><font color="#5e5e5e" class="">--</font></b></div>
<div class="" style="font-size: 14px;"><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#5e5e5e" class="">Joel Esler </font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;">| </span><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#0096ff" class="">Talos:</font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;"> M</span><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 12px;">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">On Jan 23, 2017, at 10:31 AM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" class="" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;">
<p class="" style="margin-top: 0px; margin-bottom: 0px;"></p>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
I have read about that and have even add some thresholds in some rules to understand them better while generating traffic. However, when I download rules I supposed that they were trying to alert from known attacks, so it should even have a well configured
 threshold. </div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
If they don't have it and you have to do it by yourself these rules are not useful, are they?. Maybe I'm wrong from the beginning, but it doesn't make sense for me to have to configure a threshold for thousand of rules downloaded, one by one. Even more, when
 I don't know the attacks and don't have any criteria to configure its threshold. </div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
That's why I suspected that there was something that I was misunderstanding, since I don't believe that uploaded rules were incomplete.</div>
<br class="">
<p class="" style="margin-top: 0px; margin-bottom: 0px;"></p>
</div>
<hr tabindex="-1" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline-block; width: 2722.4375px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;"></span>
<div id="divRplyFwdMsg" dir="ltr" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<font face="Calibri, sans-serif" class="" style="font-size: 11pt;"><b class="">From:</b><span class="Apple-converted-space"> </span>Joel Esler (jesler) <<a href="mailto:jesler@...589..." class="">jesler@...589...</a>><br class="">
<b class="">Sent:</b><span class="Apple-converted-space"> </span>23 January 2017 15:20:56<br class="">
<b class="">To:</b><span class="Apple-converted-space"> </span>Ana Serrano Mamolar<br class="">
<b class="">Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [Snort-users] Detecting DDoS attacks with Snort</font>
<div class=""> </div>
</div>
<div class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
You can enable your own thresholds in the threshold.conf.
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class=""><b class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><font color="#5e5e5e" class="">--</font></b></div>
<div class="" style="font-size: 14px;"><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#5e5e5e" class="">Joel Esler </font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;">| </span><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#0096ff" class="">Talos:</font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;"> M</span><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 12px;">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">On Jan 23, 2017, at 9:54 AM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" class="" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;">
<div class="" style="margin-top: 0px; margin-bottom: 0px;">Thanks for your response Joel.</div>
<div class="" style="margin-top: 0px; margin-bottom: 0px;">I have also installed PulledPork to have more updated rules, but still don't understand why I have to get an alert per packet in a DDoS attack.</div>
<div class="" style="margin-top: 0px; margin-bottom: 0px;">For example, following your link, I randomly selected one rule with a DoS classtype that I copied bellow. If I use scapy to send 2000 packets that  match the signature showed in this rule, Snort will
 trigger 2000 alerts. That's what I can not understand from the beginning. Why 2000 alerts. Shouldn't exist a kind of threshold to consider an attack or not, depending on the amount of packets received/sent?</div>
<p class="" style="margin-top: 0px; margin-bottom: 0px;"> </p>
<div class="" style="margin-top: 0px; margin-bottom: 0px;"><span class=""><i class=""># alert udp $EXTERNAL_NET any -> $HOME_NET 31335 (msg:"MALWARE-OTHER Trin00 Daemon to Master message detected"; flow:to_server; content:"l44"; fast_pattern:only; metadata:ruleset
 community; reference:cve,2000-0138; classtype:attempted-dos; sid:231; rev:11;)</i></span><br class="">
</div>
</div>
<hr tabindex="-1" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; display: inline-block; width: 2722.4375px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;"></span>
<div id="divRplyFwdMsg" dir="ltr" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<font face="Calibri, sans-serif" class="" style="font-size: 11pt;"><b class="">From:</b><span class="Apple-converted-space"> </span>Joel Esler (jesler) <<a href="mailto:jesler@...589..." class="">jesler@...589...</a>><br class="">
<b class="">Sent:</b><span class="Apple-converted-space"> </span>23 January 2017 14:41:07<br class="">
<b class="">To:</b><span class="Apple-converted-space"> </span>Ana Serrano Mamolar<br class="">
<b class="">Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:snort-users@lists.sourceforge.net" class="">snort-users@lists.sourceforge.net</a><br class="">
<b class="">Subject:</b><span class="Apple-converted-space"> </span>Re: [Snort-users] Detecting DDoS attacks with Snort</font>
<div class=""> </div>
</div>
<div class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
Those rules are six years old.  I’d suggest getting a more up to date ruleset from<span class="Apple-converted-space"> </span><a href="http://snort.org/" class="">Snort.org</a>.
<div class=""><br class="">
<div class="">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class="" style="letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
<div class=""><b class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><font color="#5e5e5e" class="">--</font></b></div>
<div class="" style="font-size: 14px;"><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#5e5e5e" class="">Joel Esler </font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;">| </span><b class="" style="font-family: Calibri, sans-serif; font-size: 12px;"><font color="#0096ff" class="">Talos:</font></b><span class="" style="font-family: Calibri, sans-serif; font-size: 12px;"> M</span><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 12px;">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" class="" style="font-family: Calibri, sans-serif; font-size: 10px;"><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">On Jan 23, 2017, at 5:25 AM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" class="" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;">
<p class="" style="margin-top: 0px; margin-bottom: 0px;"></p>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
Hi everyone,,</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
I am a beginner with Snort. For my research, I would like to use Snort to detect DDoS attacks.</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
So, what I have done is, first install Snort and download DDoS rules from here <a href="https://github.com/eldondev/Snort/blob/master/rules/ddos.rules" target="_blank" id="LPlnk84588" previewremoved="true" class=""><span id="LPlnk84588" class="">https://github.com/eldondev/Snort/blob/master/rules/ddos.rules</span></a>. </div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
Then, I tried to generate some traffic that match some of this rules to see if Snort triggered alerts. I started to use scapy and I managed to generate ICMP and UDP DoS attacks, but not TCP for the moment, and not Distributed, but just DoS. I am open also to
 new ideas about that issue of generating traffic to simulate my attacks ( also pcaps would be suitable).</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<br class="">
</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
My main worry, and the aim of this message, is that I am not sure to have understood well how Snort rules work. I don't understand why I am getting one alert per packet sent. So, if i send 2000 packets matching a rule I receive 2000 alerts. As far as I know,
 a DDoS attack<span class="Apple-converted-space"> </span><span class="">attempt to overload systems, so </span>one packet, is not a DoS attack.</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
 </div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
So, does somebody know how I should do a real experiment? Maybe that rules are not good to detect an attack? Maybe I am not running Snort in the proper mode? </div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<br class="">
</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
Thanks in advance<br class="">
</div>
<div class="" style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
Ana</div>
<br class="">
<p class="" style="margin-top: 0px; margin-bottom: 0px;"></p>
</div>
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">------------------------------------------------------------------------------</span><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Check
 out the vibrant tech community on one of the world's most</span><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">engaging
 tech sites,<span class="Apple-converted-space"> </span></span><a href="http://slashdot.org/" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">SlashDot.org</a><span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">!<span class="Apple-converted-space"> </span></span><a href="http://sdm.link/slashdot_______________________________________________" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">http://sdm.link/slashdot_______________________________________________</a><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Snort-users
 mailing list</span><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<a href="mailto:Snort-users@lists.sourceforge.net" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">Snort-users@lists.sourceforge.net</a><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Go
 to this URL to change user options or unsubscribe:</span><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Snort-users
 list archive:</span><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<br class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">
<span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;">Please
 visit<span class="Apple-converted-space"> </span></span><a href="http://blog.snort.org/" class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;">http://blog.snort.org</a><span class="" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;"><span class="Apple-converted-space"> </span>to
 stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
</div>
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>