<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Hi Jeol,<div><br></div><div>I have tried the rule on snort 2.9.4 version as well and got the same results. The PCRE version I am using is <span style="color: rgb(34, 34, 34); font-family: arial, helvetica, sans-serif; font-size: 13.333333969116211px;">version: 8.12 2011-01-15. Please guide me with further debugging or resolution steps. </span></div><div><font color="#222222" face="arial, helvetica, sans-serif" size="2"><br></font></div><div><font color="#222222" face="arial, helvetica, sans-serif" size="2">Thanks,</font></div><div><font color="#222222" face="arial, helvetica, sans-serif" size="2">Waseem<br></font><br><div><div id="SkyDrivePlaceholder"></div><hr id="stopSpelling">Subject: Re: [Snort-devel] Mis-Matching traffic with PCRE Rules<br>From: jesler@...402...<br>Date: Fri, 8 Mar 2013 09:28:33 -0500<br>CC: snort-devel@lists.sourceforge.net<br>To: waseemsarwar103@...445...<br><br><div><div>On Mar 8, 2013, at 5:43 AM, waseem sarwar <<a href="mailto:waseemsarwar103@...445...">waseemsarwar103@...445...</a>> wrote:</div><br class="ecxApple-interchange-newline"><blockquote><div style="font-family:Calibri;font-size:16px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;orphans:2;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;widows:2;word-spacing:0px;">I have a pcre based rule as follow in my rules file,</div><div style="font-family:Calibri;font-size:16px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;orphans:2;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;widows:2;word-spacing:0px;"><br></div><div style="font-family:Calibri;font-size:16px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;orphans:2;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;widows:2;word-spacing:0px;">alert udp any any -> any 53 (msg:"MALWARE domain<span class="ecxApple-converted-space"> </span><a href="http://capodeicapi.eu/" target="_blank">capodeicapi.eu</a>"; pcre:"m/<a href="http://capodeicapi.eu/i" target="_blank">capodeicapi.eu/i</a>"; classtype:trojan-activity; sid:5000968;)</div></blockquote><div><br></div><div>Hm..</div><div>I'm not sure what you are doing with the "m" in your pcre there..  but if you are trying to match on a domain name look up, that rule won't work.  The "." in a domain name is actually a number.  And it would be faster and better to do a content match there.  content:"capodeicapi|02|eu"; or something like that.</div><div><br></div><div><br></div><blockquote><div style="font-family:Calibri;font-size:16px;font-style:normal;font-variant:normal;font-weight:normal;letter-spacing:normal;line-height:normal;orphans:2;text-align:-webkit-auto;text-indent:0px;text-transform:none;white-space:normal;widows:2;word-spacing:0px;">The issue I am facing is that this rule also matches for the domain <a href="http://capo.eu/" style="font-size:12pt;" target="_blank">http://capo.eu</a> which it should not match. I am also facing similar problem with more pcre rules such that they match sub string based url of actual rules . I am using snort version 2.9.1.</div></blockquote><div><br></div><div>First thing I am going to ask you to do is upgrade your version of Snort.  We are on 2.9.4.1 now, support for 2.9.1 ended about a year ago.  In addition to that, I also need to know what version of pcre you have installed on the box.</div></div><br><div><br></div><div><span style="font-size:12px;font-family:'Lucida Grande';">--</span><br><span style="font-size:12px;font-family:'Lucida Grande';"><b>Joel Esler</b></span><br><span style="font-size:12px;font-family:'Lucida Grande';">Senior Research Engineer, VRT</span><br><span style="font-size:12px;font-family:'Lucida Grande';">OpenSource Community Manager</span><br><span style="font-size:12px;font-family:'Lucida Grande';">Sourcefire</span></div></div></div>                                         </div></body>
</html>