<div><div class="gmail_quote">Hi team,<div><br></div><div>I'm currently testing Suricata in the shape of a comparative analysis with Snort. I've been in contact with Anoop Saldanha who advised me to post my question to the dev team mailing list.</div>

<div>Here is my issue:</div><div><br></div><div>I'm not sure how to use flowint to trigger an alert after 3 bad logins on an FTP account.</div><div>Here are my rules:</div><div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px">

<div><div><b>alert tcp any any -> any any (msg:"Counting Failed Logins"; content:"incorrect"; flowint: username, notset; flowint:username, =, 1; noalert; sid:1;)</b></div></div><div><div><b>alert tcp any any -> any any (msg:"More than three Failed Logins!"; content:"incorrect"; flowint: username, isset; flowint:username, +, 1; flowint:username, >, 3; sid:2;)</b></div>

</div></blockquote><div><div><br></div><div>I have tested to track the string "incorrect" to ensure it was correct:</div><div><br></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px">
<div><div><b>alert tcp any any -> any any (msg:"test_incorrect"; content:"incorrect"; sid:1;)</b></div></div></blockquote><div><br></div><div>And it works fine. Here is the output in /var/log/suricata/fast.log:</div>

<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><b>03/16/2011-14:25:23.146103  [**] [1:1:0] test_incorrect [**] [Classification: (null)] [Priority: 3] {TCP} <a href="http://192.168.100.35:21" target="_blank">192.168.100.35:21</a> -> <a href="http://192.168.100.37:37082" target="_blank">192.168.100.37:37082</a></b></div>

</div></blockquote><div><br></div><div>You will find attached to this mail a pcap capture realized with tcpdump (tcpdump -lnx -s 1500 -i eth0 -w badlogins.cap 'port 21') to track the failed authentication attempts.</div>

<div>I'm also joining my suricata.yaml configuration in case you would need it...</div><div><br></div><div>I have the feeling that the counter is not auto-incrementing...</div><div>Many thanks in advance for your help.</div>

<div><br></div><font color="#888888"><div>-- <br>Cordialement/Regards,<div><br></div><div>Sébastien Damaye</div><div><a href="http://www.aldeid.com" target="_blank">http://www.aldeid.com</a><br></div></div></font></div><font class="Apple-style-span" color="#888888"><br>
</font>
</div>