<br>I am having trace file containg an attack related to bid 514.<br>
<br>
DOS IGMP dos attack sid 1:273:8 bid 514;&quot;<br>
<br>
snort is showing up but the converted snort2bro rule <br>
signature s2b-273-8 {<br>
&nbsp; header ip[9:1] == 2<br>
&nbsp; event &quot;DOS IGMP dos attack sid 1:273:8 bid 514;&quot;<br>
&nbsp; header ip[6:1] &amp; 224 == 32<br>
}<br>
<br>
is not throwing any alerts.<br>
<br>
Thats the reason why I asked <br>
<br>
Thanks,<br>
UC<br><div><span class="gmail_quote">On 7/15/08, <b class="gmail_sendername">Vern Paxson</b> &lt;<a href="mailto:vern@icir.org">vern@icir.org</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
&gt; I am just wondering whether the IGMP analyzer is available in the new<br> &gt; version of&nbsp;&nbsp;bro 1.3.2???<br> <br> <br>What IGMP analyzer are you referring to?<br> <br><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Vern<br> </blockquote></div><br>