Snort mailing list archives
Flow-portscan
From: Jochen Vogel <jvogel () it-sec de>
Date: Tue, 11 May 2004 14:30:51 +0200
Hi, Im using snortinline-2.1.0 and try to get portscan messages. If i use as output msg i get nothing If i use as output pktkludge i get an unattravtive output If i use as output pktkludge with barnyard i get an unattravtive output with wrong Ips. Any comments? Thx for help jo ---snort------------------ snort -c snort.conf -i br0 -Q -de -A none ---portscan-config---------- preprocessor flow-portscan: server-watchnet [192.168.0.0/24] tcp-penalties on server-learning-time 3600 server-scanner-limit 50 alert-mode all output-mode msg ----output-mode-msg--------------- If i use msg as output-mode i get nothing ----output-mode-pktkludge--------------- If i us pktkludge as output-mode a get a file PROTO255 With following content [**] Portscan detected from 192.168.0.40 Talker(fixed: 15 sliding: 15) Scanner(fixed: 0 sliding: 0) [**] 05/11-14:12:51.000000 192.168.0.40 -> 192.168.0.143 PROTO255 TTL:0 TOS:0x10 ID:0 IpLen:20 DgmLen:507 41 64 64 72 65 73 73 3A 20 31 39 32 2E 31 36 38 Address: 192.168 2E 30 2E 34 30 0A 41 54 5F 53 43 4F 52 45 3A 20 .0.40.AT_SCORE: 31 35 0A 53 54 5F 53 43 4F 52 45 3A 20 31 35 0A 15.ST_SCORE: 15. 41 53 5F 53 43 4F 52 45 3A 20 30 0A 53 53 5F 53 AS_SCORE: 0.SS_S 43 4F 52 45 3A 20 30 0A 54 6F 74 61 6C 20 43 6F CORE: 0.Total Co 6E 6E 65 63 74 69 6F 6E 73 3A 20 31 35 0A 53 63 nnections: 15.Sc 61 6E 46 6C 61 67 73 3A 20 30 78 31 0A 41 54 5F anFlags: 0x1.AT_ 53 54 41 52 54 45 4E 44 3A 20 31 30 38 34 32 37 STARTEND: 108427 37 35 37 31 20 31 30 38 34 32 37 37 36 30 31 0A 7571 1084277601. 53 54 5F 53 54 41 52 54 45 4E 44 3A 20 31 30 38 ST_STARTEND: 108 34 32 37 37 35 37 31 20 31 30 38 34 32 37 37 36 4277571 10842776 30 31 0A 41 53 5F 53 54 41 52 54 45 4E 44 3A 20 01.AS_STARTEND: 31 30 38 34 32 37 37 35 37 31 20 31 30 38 34 32 1084277571 10842 37 37 35 38 36 0A 53 53 5F 53 54 41 52 54 45 4E 77586.SS_STARTEN 44 3A 20 31 30 38 34 32 37 37 35 37 31 20 31 30 D: 1084277571 10 38 34 32 37 37 35 39 31 0A 52 45 46 5F 53 45 43 84277591.REF_SEC 3A 20 20 20 30 0A 52 45 46 5F 45 56 45 4E 54 3A : 0.REF_EVENT: 20 30 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 0.ConnInfo: (6: 31 39 32 2E 31 36 38 2E 30 2E 31 34 33 3A 32 33 192.168.0.143:23 30 31 20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 01 Flags: 2).Con 6E 49 6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 nInfo: (6:192.16 38 2E 30 2E 31 34 33 3A 33 30 38 32 31 20 46 6C 8.0.143:30821 Fl 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49 6E 66 6F ags: 2).ConnInfo 3A 20 28 36 3A 31 39 32 2E 31 36 38 2E 30 2E 31 : (6:192.168.0.1 34 33 3A 34 36 35 20 46 6C 61 67 73 3A 20 32 29 43:465 Flags: 2) 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39 .ConnInfo: (6:19 32 2E 31 36 38 2E 30 2E 31 34 33 3A 32 30 30 33 2.168.0.143:2003 34 20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 4 Flags: 2).Conn 49 6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38 Info: (6:192.168 2E 30 2E 31 34 33 3A 31 30 30 30 30 20 46 6C 61 .0.143:10000 Fla 67 73 3A 20 32 29 0A gs: 2). ----pktkludge-barnyard------------------------------------------- If i use pktkludge as output-mode and use barnyard i get [**] [121:3:1] <span class="prep_text"> prep </span> flow-portscan: Fixed Scale Talker Limit Exceed ed [**] [Classification: Not Suspicious Traffic] [Priority: 2] Event ID: 9 Event Reference: 9 05/19/18-12:12:19.1161512052 8.0.69.16 -> 1.250.0.0 PROTO068 TTL:67 TOS:0x41 ID:16708 IpLen:52 DgmLen:17220 RB DF IP Options (1) => EOL Frag Offset: 0xD41 Frag Size: 0x1D4 2E 34 30 0A 41 54 5F 53 43 4F 52 45 3A 20 31 35 .40.AT_SCORE: 15 0A 53 54 5F 53 43 4F 52 45 3A 20 31 35 0A 41 53 .ST_SCORE: 15.AS 5F 53 43 4F 52 45 3A 20 30 0A 53 53 5F 53 43 4F _SCORE: 0.SS_SCO 52 45 3A 20 30 0A 54 6F 74 61 6C 20 43 6F 6E 6E RE: 0.Total Conn 65 63 74 69 6F 6E 73 3A 20 31 35 0A 53 63 61 6E ections: 15.Scan 46 6C 61 67 73 3A 20 30 78 31 0A 41 54 5F 53 54 Flags: 0x1.AT_ST 41 52 54 45 4E 44 3A 20 31 30 38 34 32 37 38 33 ARTEND: 10842783 39 31 20 31 30 38 34 32 37 38 34 32 31 0A 53 54 91 1084278421.ST 5F 53 54 41 52 54 45 4E 44 3A 20 31 30 38 34 32 _STARTEND: 10842 37 38 33 39 31 20 31 30 38 34 32 37 38 34 32 31 78391 1084278421 0A 41 53 5F 53 54 41 52 54 45 4E 44 3A 20 31 30 .AS_STARTEND: 10 38 34 32 37 38 33 39 31 20 31 30 38 34 32 37 38 84278391 1084278 34 30 36 0A 53 53 5F 53 54 41 52 54 45 4E 44 3A 406.SS_STARTEND: 20 31 30 38 34 32 37 38 33 39 31 20 31 30 38 34 1084278391 1084 32 37 38 34 31 31 0A 52 45 46 5F 53 45 43 3A 20 278411.REF_SEC: 20 20 30 0A 52 45 46 5F 45 56 45 4E 54 3A 20 30 0.REF_EVENT: 0 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39 .ConnInfo: (6:19 32 2E 31 36 38 2E 30 2E 31 34 33 3A 34 33 32 31 2.168.0.143:4321 20 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49 Flags: 2).ConnI 6E 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38 2E nfo: (6:192.168. 30 2E 31 34 33 3A 37 30 37 30 20 46 6C 61 67 73 0.143:7070 Flags 3A 20 32 29 0A 43 6F 6E 6E 49 6E 66 6F 3A 20 28 : 2).ConnInfo: ( 36 3A 31 39 32 2E 31 36 38 2E 30 2E 31 34 33 3A 6:192.168.0.143: 33 32 37 36 38 20 46 6C 61 67 73 3A 20 32 29 0A 32768 Flags: 2). 43 6F 6E 6E 49 6E 66 6F 3A 20 28 36 3A 31 39 32 ConnInfo: (6:192 2E 31 36 38 2E 30 2E 31 34 33 3A 36 36 36 36 20 .168.0.143:6666 46 6C 61 67 73 3A 20 32 29 0A 43 6F 6E 6E 49 6E Flags: 2).ConnIn 66 6F 3A 20 28 36 3A 31 39 32 2E 31 36 38 2E 30 fo: (6:192.168.0 2E 31 34 33 3A 31 30 38 30 20 46 6C 61 67 73 3A .143:1080 Flags: 20 32 29 0A 2). ------------------------------------------------------- This SF.Net email is sponsored by Sleepycat Software Learn developer strategies Cisco, Motorola, Ericsson & Lucent use to deliver higher performing products faster, at low TCO. http://www.sleepycat.com/telcomwpreg.php?From=osdnemail3 _______________________________________________ Snort-users mailing list Snort-users () lists sourceforge net Go to this URL to change user options or unsubscribe: https://lists.sourceforge.net/lists/listinfo/snort-users Snort-users list archive: http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:
- Flow-portscan Jochen Vogel (May 11)