<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 14, 2013 at 2:52 PM, Jefferson, Shawn <span dir="ltr"><<a href="mailto:Shawn.Jefferson@...3132..." target="_blank">Shawn.Jefferson@...3132...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div lang="EN-CA" link="blue" vlink="purple"><div><p class="">
<span style="font-size:10pt;font-family:Arial,sans-serif;color:blue">Hi Tony,<u></u><u></u></span></p><p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†<u></u></span></p><p class="">
<span style="font-size:10pt;font-family:Arial,sans-serif;color:blue">I have a setup that does pretty much this.† Hereís what I do:<u></u><u></u></span></p><p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†<u></u></span></p>
<p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue">One server captures all packets from my network taps, and using prads, builds the hosts_attribute table and sends that on a schedule over to my snort boxes.† Pretty simple.<u></u><u></u></span></p>
<p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†<u></u></span></p><p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue">The problem I have is that Iíve been running this for so long, that I have a huge hosts attribute file, over 10000 hosts which is the limit.† Does anyone know, is there a configuration to increase this limit?<u></u><u></u></span></p>
<p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†</span></p></div></div></blockquote><div><div>config max_attribute_hosts: N</div><div><br></div><div>Maximum value is 524288</div></div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div lang="EN-CA" link="blue" vlink="purple"><div><p class="">
<span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u></span></p><p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue">It would be an interesting patch to have prads track how long itís been since itís seen a host and automatically prune it from the file if itís been over a certain threshold.<u></u><u></u></span></p>
<p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†<u></u></span></p><p class=""><span style="font-size:10pt;font-family:Arial,sans-serif;color:blue"><u></u>†<u></u></span></p><div style="border-style:solid none none;border-top-color:rgb(181,196,223);border-top-width:1pt;padding:3pt 0in 0in">
<p class=""><b><span lang="EN-US" style="font-size:10pt;font-family:Tahoma,sans-serif">From:</span></b><span lang="EN-US" style="font-size:10pt;font-family:Tahoma,sans-serif"> Tony Robinson [mailto:<a href="mailto:deusexmachina667@...2499..." target="_blank">deusexmachina667@...2499...</a>] <br>
<b>Sent:</b> Tuesday, August 13, 2013 4:27 PM<br><b>To:</b> Joel Esler<br><b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a>; Rodrigo Montoro; mailinglist mailinglist<br>
<b>Subject:</b> Re: [Snort-users] [Snort-devel] Interested in developing a preprocessor; want all the documentation I can get.<u></u><u></u></span></p></div><div><div class="h5"><p class=""><u></u>†<u></u></p><div><div><p class="" style="margin-bottom:12pt">
appreciate all the feedback. apologies for the delay sleeping, work, etc. you get the idea.<u></u><u></u></p></div><p class="">I was thinking DAQ is where I would want to look as well, but I was under the impression that DAQ essentially takes the place of libpcap -- you're using DAQ to grab the raw traffic off the wire before passing it to snort for "cleanup" and other purposes. I don't know if this assertion is correct or not -- I mean, is daq used to pass reassembled traffic between preprocessors?<br>
<br>†I'm not a dev either, just another infosec enthusiast and I just thought that this would be something awesome since snort is really good at reassembling traffic and prads/p0f could totally take advantage of reassembled streams for service and OS detection. This in turn can create a feedback loop for building reassembly policies and (eventually) be used to make suggestions for rules to enable/disable via pulled pork or another rule management tool.<u></u><u></u></p>
</div><div><p class="" style="margin-bottom:12pt"><u></u>†<u></u></p><div><p class="">On Tue, Aug 13, 2013 at 8:56 AM, Joel Esler <<a href="mailto:jesler@...402..." target="_blank">jesler@...402...</a>> wrote:<u></u><u></u></p>
<div><div><p class="">On Aug 12, 2013, at 9:52 PM, Tony Robinson <<a href="mailto:deusexmachina667@...2499..." target="_blank">deusexmachina667@...2499...</a>> wrote:<u></u><u></u></p><div><p class=""><br><br><u></u><u></u></p>
<div><p class="" style="margin-bottom:12pt"><span style="font-size:9pt;font-family:Helvetica,sans-serif">this gives me a good starting point... Do you or anyone else for that matter know if the starter kit is compatible with the latest snort versions? I'm assuming so, since the web page refers to snort 2.9.4.x while the text doc in the tarball refers to snort 2.9.0.x<u></u><u></u></span></p>
</div><p class=""><span style="font-size:9pt;font-family:Helvetica,sans-serif">also specifically what I'm looking to do is take normalized traffic in either a passive or inline config and pass the cleaned up/reassembled traffic to prads or p0f for more accurate host detection, and in turn prads or p0f could be used to build more accurate stream 5 or frag 3 host policies.. makes sense, no?</span><u></u><u></u></p>
</div><p class=""><u></u>†<u></u></p></div><div><p class="">Itís compatible.<u></u><u></u></p></div><div><p class=""><u></u>†<u></u></p></div></div></div><p class=""><br><br clear="all"><br>-- <br>when does reality end? when does fantasy begin? <u></u><u></u></p>
</div></div></div></div></div><br>------------------------------------------------------------------------------<br>
Get 100% visibility into Java/.NET code with AppDynamics Lite!<br>
It's a free troubleshooting tool designed for production.<br>
Get down to code-level detail for bottlenecks, with <2% overhead.<br>
Download for free and get started troubleshooting in minutes.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=48897031&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1685...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div></div>