Ok...<br><br>Just another question: today reading the documentation patch (I patched the snort_manual.tex first, it's one best practice of ours) and talking about the new features with the collegue designing the "network use case" (Davide Diana, who identified the first react bug we are fixing, about the missing ACK flag in sent packets) we realized that a completely new plugin (working only with inline rules), could be a cleaner solution.<br>
<br>React was a funny network hack, but Inline Mode offer better solutions to block dangerous/forbidden content at all, without disclosing to the attacker/forbidden server information about the snort presence (and version).<br>
<br><br>Since it's done, we will actually send back the fixes we have done to sp_react.c (let me clean it a bit :-D), but what do you think about a new "warn" keyword  available only on inline rules (drop, sdrop and reject).<br>
<br>Such a keyword would make snort to send a warning to the destination of the matched packet (aka the "victim").<br>I'd like to send different warnings to different protocols, but I have no time, so only http warnings will be implemented (but IRC warning, for example, could be quite easy to implement).<br>
<br><br>What do you think about this?<br><br>I think that such a system could be really useful in many IPS configurations.<br>Note that those are just ideas... If you think react is <span onclick="dr4sdgryt(event)">enough, </span>let me know... :-D<br>
<br><br>Giacomo <span onclick="dr4sdgryt(event)"></span><br><br><br><div><span class="gmail_quote">2008/6/10, Steven Sturges <<a href="mailto:steve.sturges@...402...">steve.sturges@...402...</a>>:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi Giacomo--<br>
<br>
Yes, please send patches to this list.<br>
<br>
There should be a number of developers interested to see your work,<br>
as well as comment on additional features or recommend changes.<br>
<br>
Cheers.<br>
-steve<br>
</blockquote></div><br>-- <br>Giacomo Tesio<br><a href="http://www.tesio.it">http://www.tesio.it</a>