Snort mailing list archives

Problem with flexresp2 (reset_both) and snort 2.8.0.2

From: Hermano Pereira <hermanopereira () celepar pr gov br>
Date: Wed, 27 Feb 2008 16:28:16 -0300

; Hello,

; Problem with flexresp2 (reset_both) and snort 2.8.0.2:

----------------------------------------------------------------------------------------------------

; Test rule:
; alert tcp 10.X.X.X -> 200.X.X.X any (msg:"Testing Flexresp2"; 
resp:reset_both;)

; Start the test

host:~$ ftp 200.X.X.X

; Tshark on the flexresp2 defined interface:

  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]

; Source and destination port are ok, but the ip address?!

----------------------------------------------------------------------------------------------------

; Try this:

ids:~#tar -xvzf snort-2.8.0.2.tar.gz
ids:~/snort-2.8.0.2# patch -p0 < respond2_patch.diff 
(http://marc.info/?l=snort-users&m=119099490314507&q=p3)

; Edit the file sp_respond2.c, example:
ids:~/snort-2.8.0.2# vi ./src/detection-plugins/sp_respond2.c
; Find lines 553 and 554:
        iph->ip_src.s_addr = GET_SRC_IP(p);
        iph->ip_dst.s_addr = GET_DST_IP(p);
; Modify and save:
        iph->ip_src.s_addr = GET_DST_IP(p);
        iph->ip_dst.s_addr = GET_SRC_IP(p);

ids:~/snort-2.8.0.2# aclocal; autoheader; automake; autoconf
ids:~/snort-2.8.0.2# ./configure --enable-flexresp2; make clean; make; 
make install

; Test rule:
; alert tcp 10.X.X.X -> 200.X.X.X any (msg:"Testing Flexresp2"; 
resp:reset_both;)

; Start the test again

host:~$ ftp 200.X.X.X

; Tshark on the flexresp2 defined interface:

  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
  10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]
 200.X.X.X -> 10.X.X.X  TCP 21 > 51341 [RST, ACK]

----------------------------------------------------------------------------------------------------

:-)

Hermano


-- 

Esta mensagem pode conter informações confidenciais e/ou privilegiadas. Se você não for o destinatário ou a pessoa 
autorizada a recebê-la, não poderá utilizar, copiar, divulgar ou efetuar qualquer ação tomando por base as informações 
nela contidas. Se você recebeu esta mensagem por engano, por favor, avise imediatamente o remetente e em seguida 
apague-a. Comunicações pela Internet não podem ser garantidas quanto à segurança ou inexistência de erros ou de vírus. 
O remetente, por esta razão, não aceita responsabilidade por qualquer erro ou omissão no contexto da mensagem 
decorrente da transmissão via Internet.


-------------------------------------------------------------------------
This SF.net email is sponsored by: Microsoft
Defy all challenges. Microsoft(R) Visual Studio 2008.
http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/
_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
Current thread:

Problem with flexresp2 (reset_both) and snort 2.8.0.2 Hermano Pereira (Feb 27)