; Hello,
; Problem with flexresp2 (reset_both) and snort 2.8.0.2:
----------------------------------------------------------------------------------------------------
; Test rule:
; alert tcp 10.X.X.X -> 200.X.X.X any (msg:"Testing Flexresp2";
resp:reset_both;)
; Start the test
host:~$ ftp 200.X.X.X
; Tshark on the flexresp2 defined interface:
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 43131 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 21 > 43131 [RST, ACK]
; Source and destination port are ok, but the ip address?!
----------------------------------------------------------------------------------------------------
; Try this:
ids:~#tar -xvzf snort-2.8.0.2.tar.gz
ids:~/snort-2.8.0.2# patch -p0 < respond2_patch.diff
(http://marc.info/?l=snort-users&m=119099490314507&q=p3)
; Edit the file sp_respond2.c, example:
ids:~/snort-2.8.0.2# vi ./src/detection-plugins/sp_respond2.c
; Find lines 553 and 554:
iph->ip_src.s_addr = GET_SRC_IP(p);
iph->ip_dst.s_addr = GET_DST_IP(p);
; Modify and save:
iph->ip_src.s_addr = GET_DST_IP(p);
iph->ip_dst.s_addr = GET_SRC_IP(p);
ids:~/snort-2.8.0.2# aclocal; autoheader; automake; autoconf
ids:~/snort-2.8.0.2# ./configure --enable-flexresp2; make clean; make;
make install
; Test rule:
; alert tcp 10.X.X.X -> 200.X.X.X any (msg:"Testing Flexresp2";
resp:reset_both;)
; Start the test again
host:~$ ftp 200.X.X.X
; Tshark on the flexresp2 defined interface:
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
10.X.X.X -> 200.X.X.X TCP 51341 > 21 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
200.X.X.X -> 10.X.X.X TCP 21 > 51341 [RST, ACK]
----------------------------------------------------------------------------------------------------
:-)
Hermano
--
Esta mensagem pode conter informações confidenciais e/ou privilegiadas. Se você
não for o destinatário ou a pessoa autorizada a recebê-la, não poderá utilizar,
copiar, divulgar ou efetuar qualquer ação tomando por base as informações nela
contidas. Se você recebeu esta mensagem por engano, por favor, avise
imediatamente o remetente e em seguida apague-a. Comunicações pela Internet não
podem ser garantidas quanto à segurança ou inexistência de erros ou de vírus. O
remetente, por esta razão, não aceita responsabilidade por qualquer erro ou
omissão no contexto da mensagem decorrente da transmissão via Internet.
-------------------------------------------------------------------------
This SF.net email is sponsored by: Microsoft
Defy all challenges. Microsoft(R) Visual Studio 2008.
http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/
_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://www.geocrawler.com/redir-sf.php3?list=snort-users
