My results are the same as Carlo's - using his scenario.<br>If this is an issue it seems to be a separate one from the <a href="https://redmine.openinfosecfoundation.org/issues/284" target="_blank">https://redmine.openinfosecfoundation.org/issues/284</a><br>
The rules that fire up are located in  :<br>emerging-policy.rules<br>emerging-scan.rules<br>
<br>
HOWEVER <br>
@Carlo - what is the IP that you launch the nmap scan from (in the very same scenario that you reported)?<br><br>thanks<br><br><br><div class="gmail_quote">On Tue, Apr 19, 2011 at 6:00 PM,  <span dir="ltr"><<a href="mailto:oisf-users-request@openinfosecfoundation.org">oisf-users-request@openinfosecfoundation.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">Send Oisf-users mailing list submissions to<br>
        <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:oisf-users-request@openinfosecfoundation.org">oisf-users-request@openinfosecfoundation.org</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:oisf-users-owner@openinfosecfoundation.org">oisf-users-owner@openinfosecfoundation.org</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Oisf-users digest..."<br>
<br>
<br>
Today's Topics:<br>
<br>
   1. Re: Strange results when standalone hosts are monitored<br>
      (Victor Julien)<br>
   2. Re: Strange results when standalone hosts are monitored<br>
      (carlopmart)<br>
<br>
<br>
----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Tue, 19 Apr 2011 09:01:38 +0200<br>
From: Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>><br>
Subject: Re: [Oisf-users] Strange results when standalone hosts are<br>
        monitored<br>
To: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Message-ID: <<a href="mailto:4DAD3352.30205@inliniac.net">4DAD3352.30205@inliniac.net</a>><br>
Content-Type: text/plain; charset=ISO-8859-1<br>
<br>
On 04/13/2011 10:37 PM, carlopmart wrote:<br>
> On 04/12/2011 08:35 PM, carlopmart wrote:<br>
>> On 04/12/2011 06:28 PM, carlopmart wrote:<br>
>>> Hi all,<br>
>>><br>
>>> I have a strange issue when I try to define HOME_NET variable to monitor<br>
>>> only four hosts with suricata.<br>
>>><br>
>>> Suricata is configured to sniff on a bridge interface that intercepts<br>
>>> all traffic destined to these four hosts.<br>
>>><br>
>>> My test consists in launch a scan with nmap command (nmap -n -sV<br>
>>> 172.25.50.10).<br>
>>><br>
>>> a) First test: $HOME_NET defined as "any" and EXTERNAL_NET defined as<br>
>>> "any". Result: several alerts are fired like these:<br>
>>><br>
>>> 04/12-11:13:43.568003 [**] [1:2010937:2] ET POLICY Suspicious inbound to<br>
>>> mySQL port 3306 [**] [Classification: Potentially Bad Traffic]<br>
>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:58028" target="_blank">172.25.50.30:58028</a> -> <a href="http://172.25.50.10:3306" target="_blank">172.25.50.10:3306</a><br>
>>> 04/12-11:13:43.569729 [**] [1:2010936:2] ET POLICY Suspicious inbound to<br>
>>> Oracle SQL port 1521 [**] [Classification: Potentially Bad Traffic]<br>
>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:39087" target="_blank">172.25.50.30:39087</a> -> <a href="http://172.25.50.10:1521" target="_blank">172.25.50.10:1521</a><br>
>>> 04/12-11:13:43.579746 [**] [1:2002911:4] ET SCAN Potential VNC Scan<br>
>>> 5900-5920 [**] [Classification: Attempted Information Leak] [Priority:<br>
>>> 2] {TCP} <a href="http://172.25.50.30:54960" target="_blank">172.25.50.30:54960</a> -> <a href="http://172.25.50.10:5902" target="_blank">172.25.50.10:5902</a><br>
>>> 04/12-11:13:43.580973 [**] [1:2010935:2] ET POLICY Suspicious inbound to<br>
>>> MSSQL port 1433 [**] [Classification: Potentially Bad Traffic]<br>
>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:48312" target="_blank">172.25.50.30:48312</a> -> <a href="http://172.25.50.10:1433" target="_blank">172.25.50.10:1433</a><br>
>>> 04/12-11:13:43.584373 [**] [1:2010939:2] ET POLICY Suspicious inbound to<br>
>>> PostgreSQL port 5432 [**] [Classification: Potentially Bad Traffic]<br>
>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:43791" target="_blank">172.25.50.30:43791</a> -> <a href="http://172.25.50.10:5432" target="_blank">172.25.50.10:5432</a><br>
>>> 04/12-11:13:49.678140 [**] [1:257:9] GPL DNS named version attempt [**]<br>
>>> [Classification: Attempted Information Leak] [Priority: 2] {TCP}<br>
>>> <a href="http://172.25.50.30:59459" target="_blank">172.25.50.30:59459</a> -> <a href="http://172.25.50.10:53" target="_blank">172.25.50.10:53</a><br>
>>><br>
>>><br>
>>> b) Second test: $HOME_NET defined with four IPs<br>
>>> "[<a href="http://172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32" target="_blank">172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32</a>]"<br>

>>><br>
>>> and EXTERNAL_NET as "!$HOME_NET". Result: nothing.<br>
>>><br>
>>> c) Third test: $HOME_NET defined as<br>
>>> "[<a href="http://172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32" target="_blank">172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32</a>]"<br>

>>><br>
>>> and EXTERNAL_NET as "any". Result: nothing.<br>
>>><br>
>>> Why?? Is this normal??<br>
>>><br>
>>> Thanks.<br>
>><br>
>> Nothing??<br>
>><br>
><br>
> Ok, more info. Using suricata1.1beta2, results are the same. But using<br>
> suricata 1.0.3, all three tests works.<br>
><br>
> Any ideas??<br>
<br>
We've opened a ticket here:<br>
<a href="https://redmine.openinfosecfoundation.org/issues/284" target="_blank">https://redmine.openinfosecfoundation.org/issues/284</a><br>
<br>
Cheers,<br>
Victor<br>
<br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
<br>
<br>
------------------------------<br>
<br>
Message: 2<br>
Date: Tue, 19 Apr 2011 11:15:01 +0200<br>
From: carlopmart <<a href="mailto:carlopmart@gmail.com">carlopmart@gmail.com</a>><br>
Subject: Re: [Oisf-users] Strange results when standalone hosts are<br>
        monitored<br>
To: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Message-ID: <<a href="mailto:4DAD5295.2030706@gmail.com">4DAD5295.2030706@gmail.com</a>><br>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed<br>
<br>
On 04/19/2011 09:01 AM, Victor Julien wrote:<br>
> On 04/13/2011 10:37 PM, carlopmart wrote:<br>
>> On 04/12/2011 08:35 PM, carlopmart wrote:<br>
>>> On 04/12/2011 06:28 PM, carlopmart wrote:<br>
>>>> Hi all,<br>
>>>><br>
>>>> I have a strange issue when I try to define HOME_NET variable to monitor<br>
>>>> only four hosts with suricata.<br>
>>>><br>
>>>> Suricata is configured to sniff on a bridge interface that intercepts<br>
>>>> all traffic destined to these four hosts.<br>
>>>><br>
>>>> My test consists in launch a scan with nmap command (nmap -n -sV<br>
>>>> 172.25.50.10).<br>
>>>><br>
>>>> a) First test: $HOME_NET defined as "any" and EXTERNAL_NET defined as<br>
>>>> "any". Result: several alerts are fired like these:<br>
>>>><br>
>>>> 04/12-11:13:43.568003 [**] [1:2010937:2] ET POLICY Suspicious inbound to<br>
>>>> mySQL port 3306 [**] [Classification: Potentially Bad Traffic]<br>
>>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:58028" target="_blank">172.25.50.30:58028</a> ->  <a href="http://172.25.50.10:3306" target="_blank">172.25.50.10:3306</a><br>
>>>> 04/12-11:13:43.569729 [**] [1:2010936:2] ET POLICY Suspicious inbound to<br>
>>>> Oracle SQL port 1521 [**] [Classification: Potentially Bad Traffic]<br>
>>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:39087" target="_blank">172.25.50.30:39087</a> ->  <a href="http://172.25.50.10:1521" target="_blank">172.25.50.10:1521</a><br>
>>>> 04/12-11:13:43.579746 [**] [1:2002911:4] ET SCAN Potential VNC Scan<br>
>>>> 5900-5920 [**] [Classification: Attempted Information Leak] [Priority:<br>
>>>> 2] {TCP} <a href="http://172.25.50.30:54960" target="_blank">172.25.50.30:54960</a> ->  <a href="http://172.25.50.10:5902" target="_blank">172.25.50.10:5902</a><br>
>>>> 04/12-11:13:43.580973 [**] [1:2010935:2] ET POLICY Suspicious inbound to<br>
>>>> MSSQL port 1433 [**] [Classification: Potentially Bad Traffic]<br>
>>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:48312" target="_blank">172.25.50.30:48312</a> ->  <a href="http://172.25.50.10:1433" target="_blank">172.25.50.10:1433</a><br>
>>>> 04/12-11:13:43.584373 [**] [1:2010939:2] ET POLICY Suspicious inbound to<br>
>>>> PostgreSQL port 5432 [**] [Classification: Potentially Bad Traffic]<br>
>>>> [Priority: 2] {TCP} <a href="http://172.25.50.30:43791" target="_blank">172.25.50.30:43791</a> ->  <a href="http://172.25.50.10:5432" target="_blank">172.25.50.10:5432</a><br>
>>>> 04/12-11:13:49.678140 [**] [1:257:9] GPL DNS named version attempt [**]<br>
>>>> [Classification: Attempted Information Leak] [Priority: 2] {TCP}<br>
>>>> <a href="http://172.25.50.30:59459" target="_blank">172.25.50.30:59459</a> ->  <a href="http://172.25.50.10:53" target="_blank">172.25.50.10:53</a><br>
>>>><br>
>>>><br>
>>>> b) Second test: $HOME_NET defined with four IPs<br>
>>>> "[<a href="http://172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32" target="_blank">172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32</a>]"<br>

>>>><br>
>>>> and EXTERNAL_NET as "!$HOME_NET". Result: nothing.<br>
>>>><br>
>>>> c) Third test: $HOME_NET defined as<br>
>>>> "[<a href="http://172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32" target="_blank">172.25.50.10/32,172.25.50.13/32,172.25.50.14/32,172.25.50.20/32,172.25.50.22/32</a>]"<br>

>>>><br>
>>>> and EXTERNAL_NET as "any". Result: nothing.<br>
>>>><br>
>>>> Why?? Is this normal??<br>
>>>><br>
>>>> Thanks.<br>
>>><br>
>>> Nothing??<br>
>>><br>
>><br>
>> Ok, more info. Using suricata1.1beta2, results are the same. But using<br>
>> suricata 1.0.3, all three tests works.<br>
>><br>
>> Any ideas??<br>
><br>
> We've opened a ticket here:<br>
> <a href="https://redmine.openinfosecfoundation.org/issues/284" target="_blank">https://redmine.openinfosecfoundation.org/issues/284</a><br>
><br>
> Cheers,<br>
> Victor<br>
><br>
<br>
Thanks Victor.<br>
<br>
--<br>
CL Martinez<br>
carlopmart {at} gmail {d0t} com<br>
<br>
<br>
------------------------------<br>
<br>
_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
<br>
End of Oisf-users Digest, Vol 17, Issue 17<br>
******************************************<br>
</blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>