<div dir="ltr"><div><div><div>Hello Mitesh,<br></div>  Thank you for your inquiry regarding SMTP handling within Snort.<br><br></div> 
 Do you have a pcap file that you can send to assist with our assessment
 of the situation?  We believe the issue is with a limitation of the 
SMTP stream flushing implementation.  There is an existing bug report 
that is aimed at improving the SMTP stream flushing functionality and 
hence IPS capability.<br>
<br></div><div>    Best Regards,<br></div>    Ed<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Sep 28, 2013 at 2:17 AM, Mitesh Jadia <span dir="ltr"><<a href="mailto:mitesh.jadia@...2499..." target="_blank">mitesh.jadia@...2499...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello,<div><br></div><div>    I have one smtp based attack which is encode in format uuencode. </div><div>
    Server Response is in one single packet. But As per I know smtp preprocessor is working only on reassembled packets. So when client gives ACK of this malicious packet, server side of stream is reassembled and I get decoded data of server response. So in this case, snort is only able to detect this attack not to prevent. How I should take care of this scenario. </div>

<div><br></div><div>Regards,</div><div>Mitesh Jadia</div></div>
<br>------------------------------------------------------------------------------<br>
October Webinars: Code for Performance<br>
Free Intel webinars can help you accelerate application performance.<br>
Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from<br>
the latest Intel processors and coprocessors. See abstracts and register ><br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>