<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>I'll second this. It would be easier to use network devices as log sources such as Netflow and connection logs to determine patterns. </div><div id="AppleMailSignature">Clearly good egress filtering is a priority and then base lining of permitted ports. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">If you have specific hosts in mind and the scope is small you could consider an endpoint agent also which includes network monitoring. LogRyhthms end point agent will support this. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature">Failing that, arbour who are known for DDOS protection offer a product which uses snort but also integrates with their ddos threat intel. They have some techniques to detect zombies but it's based on their intelligence. </div><div id="AppleMailSignature"><br></div><div id="AppleMailSignature"><br><br>Sent from my iPhone</div><div><br>On 16 Feb 2017, at 09:00, Alberto Colosi <<a href="mailto:alcol@...125...">alcol@...125...</a>> wrote:<br><br></div><blockquote type="cite"><div>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">



<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Hi another approach ............. are not firewalls ?</p>
<p><br>
</p>
<p>I can't believe all is open , zombie is a wide kind of possible activity and is not so easy as can be imagined.</p>
<p><br>
</p>
<p>firewalls and uncommon authorized port usage for example during the night but not only .............. . All other kind of traffic will be dropped by firewalls and this kind of log is important too.</p>
<p><br>
</p>
<p>a SIEM can perform this kind of check in automatic if not you'll have to create some scripts to inspect log files.</p>
<p><br>
</p>
<p><br>
</p>
<p>Alberto Colosi</p>
<p>IT Security & NetWork</p>
<p><br>
</p>
<br>
<br>
<div style="color: rgb(0, 0, 0);">
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000"><b>From:</b> Paul Li <<a href="mailto:paul@...17768...">paul@...17768...</a>><br>
<b>Sent:</b> Thursday, February 16, 2017 5:32 AM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> [Snort-users] Zombie detection rules</font>
<div> </div>
</div>
<div>Is there any snort rule for zombies detection: to detect if the devices snort is monitoring are used as zombies. Or some rules that can detect large outgress traffic from a monitored device would also work.
<div><br>
</div>
<div>Thanks,</div>
<div>Paul</div>
</div>
</div>
</div>


</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Check out the vibrant tech community on one of the world's most</span><br><span>engaging tech sites, <a href="http://SlashDot.org">SlashDot.org</a>! <a href="http://sdm.link/slashdot">http://sdm.link/slashdot</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></body></html>