<div dir="ltr">Went down this path a few years ago. I couldn't find any documentation then, I don't know if there is any now. Even posted in this mailing list, still no dice. Anyway, the best advice I can give is to look at a preprocessor that is included with snort and take a look at how that is built. I believe it is either a compile time option or a run time option that you will also need to add your preprocessor to the list. It sounds like what you want to do would be good to do in a preprocessor. Keep in mind there are other preprocessors that do useful things, like there is one that will tell snort to ignore SSL traffic. Good luck! I will keep watching this in case anyone else has any other ideas.</div>
<div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 12, 2013 at 10:34 PM, Rodrigo Montoro(Sp0oKeR) <span dir="ltr"><<a href="mailto:spooker@...2499..." target="_blank">spooker@...2499...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div>Take a look at host attribute tables <a href="http://manual.snort.org/node22.html" target="_blank">http://manual.snort.org/node22.html</a><br>
<br></div>Anyway this tool with nmap do something similar what you want I guess but not analyzing traffic is passing on snort.<br>

<br><a href="http://global-security.blogspot.com.br/2010/02/hogging-snort-host-attribute-table.html" target="_blank">http://global-security.blogspot.com.br/2010/02/hogging-snort-host-attribute-table.html</a><br><br></div>
Maybe studying DAQ you could get hook you want easier than a preproc. Anyway as I said before I'm not a devel so I'm just looking as a infosec guy.<br>

<br></div><div>Good luck!<br><br></div>regards,<br></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 12, 2013 at 10:52 PM, Tony Robinson <span dir="ltr"><<a href="mailto:deusexmachina667@...2499..." target="_blank">deusexmachina667@...2499...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>this gives me a good starting point... Do you or anyone else for that matter know if the starter kit is compatible with the latest snort versions? I'm assuming so, since the web page refers to snort 2.9.4.x while the text doc in the tarball refers to snort 2.9.0.x<br>



<br></div>also specifically what I'm looking to do is take normalized traffic in either a passive or inline config and pass the cleaned up/reassembled traffic to prads or p0f for more accurate host detection, and in turn prads or p0f could be used to build more accurate stream 5 or frag 3 host policies.. makes sense, no?<br>



</div><div><div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Aug 12, 2013 at 9:27 PM, Rodrigo Montoro(Sp0oKeR) <span dir="ltr"><<a href="mailto:spooker@...2499..." target="_blank">spooker@...1067...2499...</a>></span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>I'm not a devel but for sure this url will help you =)<br><br><a href="http://www.snort.org/snort-downloads/dynamic-preprocessor-starter-kit/" target="_blank">http://www.snort.org/snort-downloads/dynamic-preprocessor-starter-kit/</a><br>





<br></div>Regards,<br></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div>On Mon, Aug 12, 2013 at 10:23 PM, Tony Robinson <span dir="ltr"><<a href="mailto:deusexmachina667@...2499..." target="_blank">deusexmachina667@...2499...</a>></span> wrote:<br>





</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><div><div><div>Title really says it all.<br><br></div>Sorry for cross posting this into both users and the devel mailing list, but I'm looking to get as many sets of eyes as I can here.<br>





<br></div>Do any of you have any experience developing snort preprocessors? I would like to try my at rolling one of my own, or figuring out how to pass normalized/preprocessed traffic to other network inspection tools -- to be quite honest, I have no idea what I'm doing  and am not sure if a preprocessor would be necessary to do this or not.<br>






<br></div>I know that for the most part, there are readmes included with most of the source code, but if anyone has anymore solid documentation on how to do something like this, I need all the documentation I can get.<span><font color="#888888"><br>






<br><br clear="all"><div><div><div><div><div><div><br>-- <br>when does reality end? when does fantasy begin?
</div></div></div></div></div></div></font></span></div>
<br></div></div>------------------------------------------------------------------------------<br>
Get 100% visibility into Java/.NET code with AppDynamics Lite!<br>
It's a free troubleshooting tool designed for production.<br>
Get down to code-level detail for bottlenecks, with <2% overhead.<br>
Download for free and get started troubleshooting in minutes.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>






Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<span><font color="#888888"><br></font></span></blockquote></div><span><font color="#888888"><br>
<br clear="all"><br>-- <br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://spookerlabs.blogspot.com" target="_blank">http://spookerlabs.blogspot.com</a><br>

<a href="http://www.twitter.com/spookerlabs" target="_blank">http://www.twitter.com/spookerlabs</a><br><a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>
</font></span></div>
</blockquote></div><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin?
</div>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Rodrigo Montoro (Sp0oKeR)<br><a href="http://spookerlabs.blogspot.com" target="_blank">http://spookerlabs.blogspot.com</a><br><a href="http://www.twitter.com/spookerlabs" target="_blank">http://www.twitter.com/spookerlabs</a><br>


<a href="http://www.linkedin.com/in/spooker" target="_blank">http://www.linkedin.com/in/spooker</a><br>
</div>
</div></div><br>------------------------------------------------------------------------------<br>
Get 100% visibility into Java/.NET code with AppDynamics Lite!<br>
It's a free troubleshooting tool designed for production.<br>
Get down to code-level detail for bottlenecks, with <2% overhead.<br>
Download for free and get started troubleshooting in minutes.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>