<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<style type="text/css" style="display:none"><!--P{margin-top:0;margin-bottom:0;} .ms-cui-menu {background-color:#ffffff;border:1px rgb(171, 171, 171) solid;font-family:'Segoe UI WPC', 'Segoe UI', Tahoma, 'Microsoft Sans Serif', Verdana, sans-serif;font-size:11pt;color:rgb(51, 51, 51);} .ms-cui-menusection-title {display:none;} .ms-cui-ctl {vertical-align:text-top;text-decoration:none;color:rgb(51, 51, 51);} .ms-cui-ctl-on {background-color:rgb(223, 237, 250);opacity: 0.8;} .ms-cui-img-cont-float {display:inline-block;margin-top:2px} .ms-cui-smenu-inner {padding-top:0px;} .ms-owa-paste-option-icon {margin: 2px 4px 0px 4px;vertical-align:sub;padding-bottom: 2px;display:inline-block;} .ms-rtePasteFlyout-option:hover {background-color:rgb(223, 237, 250) !important;opacity:1 !important;} .ms-rtePasteFlyout-option {padding:8px 4px 8px 4px;outline:none;} .ms-cui-menusection {float:left; width:85px;height:24px;overflow:hidden}.wf {speak:none; font-weight:normal; font-variant:normal; text-transform:none; -webkit-font-smoothing:antialiased; vertical-align:middle; display:inline-block;}.wf-family-owa {font-family:'o365Icons'}@font-face {  font-family:'o365IconsIE8';  src:url('prem/15.0.888.9/resources/styles/office365icons.ie8.eot?#iefix') format('embedded-opentype'),         url('prem/15.0.888.9/resources/styles/office365icons.ie8.woff') format('woff'),         url('prem/15.0.888.9/resources/styles/office365icons.ie8.ttf') format('truetype');  font-weight:normal;  font-style:normal;}@font-face {  font-family:'o365IconsMouse';  src:url('prem/15.0.888.9/resources/styles/office365icons.mouse.eot?#iefix') format('embedded-opentype'),         url('prem/15.0.888.9/resources/styles/office365icons.mouse.woff') format('woff'),         url('prem/15.0.888.9/resources/styles/office365icons.mouse.ttf') format('truetype');  font-weight:normal;  font-style:normal;}.wf-family-owa {font-family:'o365IconsMouse'}.ie8 .wf-family-owa {font-family:'o365IconsIE8'}.ie8 .wf-owa-play-large:before {content:'\e254';}.notIE8 .wf-owa-play-large:before {content:'\e054';}.ie8 .wf-owa-play-large {color:#FFFFFF/*$WFWhiteColor*/;}.notIE8 .wf-owa-play-large {border-color:#FFFFFF/*$WFWhiteColor*/; width:1.4em; height:1.4em; border-width:.1em; border-style:solid; border-radius:.8em; text-align:center; box-sizing:border-box; -moz-box-sizing:border-box; padding:0.1em; color:#FFFFFF/*$WFWhiteColor*/;}.ie8 .wf-size-play-large {width:40px; height:40px; font-size:30px}.notIE8 .wf-size-play-large {width:40px; height:40px; font-size:30px}
<!--
p
        {margin-top:0;
        margin-bottom:0}
.ms-cui-menu
        {background-color:#ffffff;
        border:1px rgb(171,171,171) solid;
        font-family:'Segoe UI WPC','Segoe UI',Tahoma,'Microsoft Sans Serif',Verdana,sans-serif;
        font-size:11pt;
        color:rgb(51,51,51)}
.ms-cui-ctl
        {vertical-align:text-top;
        text-decoration:none;
        color:rgb(51,51,51)}
.ms-cui-ctl-on
        {background-color:rgb(223,237,250)}
.ms-cui-img-cont-float
        {display:inline-block;
        margin-top:2px}
.ms-cui-smenu-inner
        {padding-top:0px}
.ms-owa-paste-option-icon
        {margin:2px 4px 0px 4px;
        vertical-align:sub;
        padding-bottom:2px;
        display:inline-block}
.ms-rtePasteFlyout-option
        {padding:8px 4px 8px 4px;
        outline:none}
.ms-cui-menusection
        {float:left;
        width:85px;
        height:24px;
        overflow:hidden}
.wf
        {speak:none;
        font-weight:normal;
        font-variant:normal;
        text-transform:none;
        vertical-align:middle;
        display:inline-block}
.wf-family-owa
        {font-family:'o365Icons'}
@font-face
        {font-family:'o365IconsIE8';
        font-weight:normal;
        font-style:normal}
@font-face
        {font-family:'o365IconsMouse';
        font-weight:normal;
        font-style:normal}
.wf-family-owa
        {font-family:'o365IconsMouse'}
.ie8 .wf-family-owa
        {font-family:'o365IconsIE8'}
.notIE8 .wf-owa-play-large
        {border-color:#FFFFFF;
        width:1.4em;
        height:1.4em;
        border-width:.1em;
        border-style:solid;
        text-align:center;
        padding:0.1em;
        color:#FFFFFF}
.ie8 .wf-size-play-large
        {width:40px;
        height:40px;
        font-size:30px}
.notIE8 .wf-size-play-large
        {width:40px;
        height:40px;
        font-size:30px}
.hmmessage p
        {margin:0px;
        padding:0px}
body.hmmessage
        {font-size:12pt;
        font-family:Calibri}
-->
--></style>
</head>
<body>
<div style="font-size:12pt;color:#000000;background-color:#FFFFFF;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>Hi,<br>
</p>
<p><br>
</p>
<p>Are there any news related to this issue?<br>
</p>
<p><br>
</p>
<p>Best regards,<br>
</p>
<p>Eray<br>
</p>
<div style="color: #282828;">
<hr tabindex="-1" style="display: inline-block; width: 98%;">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size: 11pt;"><b>Gönderen:</b> Eray Balkanli<br>
<b>Gönderildi:</b> 07 Mart 2014 Cuma 10:41<br>
<b>Kime:</b> Eray Balkanlı; Joel Esler (jesler)<br>
<b>Bilgi:</b> snort-devel@lists.sourceforge.net<br>
<b>Konu:</b> YNT: [Snort-devel] Question - snort v2.9.6.0 rules</font>
<div> </div>
</div>
<div>
<div style="font-size: 12pt; color: #000000; background-color: #ffffff; font-family: calibri, arial, helvetica, sans-serif;">
<p>Hi,<br>
</p>
<p><br>
</p>
<p>I have just noticed that this e-mail could not be received by snort-devel@...2969... since I used hotmail instead dal.ca while sending it. I also kindly request snort-devel team, besides Mr. Esler, to read my question in my previous e-mail and share their ideas
 with me.<br>
</p>
<p><br>
</p>
<p>As summary, my question was why some rules (example below) were deleted in years. What is the exact reference you are following while deciding to delete/exchange a rule?<br>
</p>
<p><br>
</p>
<p>Example:<br>
</p>
<p># $Id: icmp.rules,v 1.27 2005/02/10 01:11:04 bmc Exp $<br>
</p>
<div>alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP redirect host"; icode:1; itype:5; reference:arachnids,135; reference:cve,1999-0265; classtype:bad-unknown; sid:472; rev:4;)</div>
<div>alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP redirect net"; icode:0; itype:5; reference:arachnids,199; reference:cve,1999-0265; classtype:bad-unknown; sid:473; rev:4;)<br>
</div>
<div>alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Source Quench"; icode:0; itype:4; classtype:bad-unknown; sid:477; rev:2;)</div>
<div>alert icmp any any -> any any (msg:"ICMP Destination Unreachable Communication Administratively Prohibited"; icode:13; itype:3; classtype:misc-activity; sid:485; rev:4;)</div>
<div>alert icmp any any -> any any (msg:"ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited"; icode:10; itype:3; classtype:misc-activity; sid:486; rev:4;)</div>
<div>alert icmp any any -> any any (msg:"ICMP Destination Unreachable Communication with Destination Network is Administratively Prohibited"; icode:9; itype:3; classtype:misc-activity; sid:487; rev:4;)</div>
<div>alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Large ICMP Packet"; dsize:>800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;)</div>
<div><br>
</div>
<div>These rules are NOT observed in "protocol-icmp.rules" from snort-rules 2.9.6.0. (why?)<br>
</div>
<div><br>
</div>
<div>"
<div># This file contains (i) proprietary rules that were created, tested and certified by</div>
<div># Sourcefire, Inc. (the "VRT Certified Rules") that are distributed under the VRT</div>
<div># Certified Rules License Agreement (v 2.0), and (ii) rules that were created by</div>
<div># Sourcefire and other third parties (the "GPL Rules") that are distributed under the</div>
<div># GNU General Public License (GPL), v2.<br>
<br>
"<br>
</div>
I will be grateful if you reply to me.</div>
<div><br>
</div>
<div>Best regards,</div>
<div>Eray<br>
</div>
<div>​<br>
</div>
<p><br>
</p>
<div style="color: #282828;">
<hr tabindex="-1" style="display: inline-block; width: 98%;">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size: 11pt;"><b>Gönderen:</b> Eray Balkanlı <eraybalkanli@...445...><br>
<b>Gönderildi:</b> 06 Mart 2014 Perşembe 13:34<br>
<b>Kime:</b> Joel Esler (jesler); Eray Balkanli<br>
<b>Bilgi:</b> snort-devel@lists.sourceforge.net<br>
<b>Konu:</b> RE: [Snort-devel] Question - snort v2.9.6.0 rules</font>
<div> </div>
</div>
<div>
<div dir="ltr">Hi,
<div><br>
</div>
<div>First of all, thank you very much for your interest and answer!</div>
<div><br>
</div>
<div>On behalf of being more clear, let me explain my question deeper.</div>
<div><br>
</div>
<div>Now, I am both using the ruleset from v2.9.1 and v2.9.6.0 and I see there are many changes between the rulesets, as supposed. When I check the "icmp.rules" and "icmp-info.rules" in 2.9.1, I observe there are lots of rules they contain. However, icmp.rules
 and icmp-info.rules are empty, including no rule, but I see protocol-icmp.rules there which contains some rules related to icmp packets. But, some rules have completely been deleted. For example:</div>
<div><br>
</div>
<div>icmp.rules (v2.9.1) contains: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP Large ICMP Packet"; dsize:>800; reference:arachnids,246; classtype:bad-unknown; sid:499; rev:4;)</div>
<div><br>
</div>
<div>icmp-info.rules (v2.9.1) contains: alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING Sun Solaris"; dsize:8; itype:8; reference:arachnids,448; classtype:misc-activity; sid:381; rev:6;)<br>
<br>
I cannot see these rules in protocol-icmp.rules (v2.9.6.0). And there are more rules which are observable in v2.9.1 unless v2.9.6.0.</div>
<div><br>
</div>
<div>In this regard, may I ask why these rules were deleted? Could you please explain depending on which references you decide to delete the existing rules?</div>
<div><br>
</div>
<div>* You can find the rules I use "icmp.rules (v2.9.1), icmp-info.rules (v2.9.1) and protocol-icmp(2.9.6.0)" on the attachment of this mail.</div>
<div><br>
</div>
<div>I appreciate for your kind interest. Thank you!</div>
<div><br>
</div>
<div>Best regards,</div>
<div>Eray<br>
<br>
<div>
<hr id="stopSpelling">
From: jesler@...3461...<br>
To: Eray.Balkanli@...3489...<br>
CC: snort-devel@lists.sourceforge.net; eraybalkanli@...445...<br>
Subject: Re: [Snort-devel] Question - snort v2.9.6.0 rules<br>
Date: Tue, 4 Mar 2014 17:47:23 +0000<br>
<br>
Within the rules we use a variety of references that you may look at to tell which vulnerabilities the rules cover, and from what year.  I encourage you to download the registered ruleset and grep through for “CVE” numbers, etc.  
<div><br>
</div>
<div><span style="font-family: 'lucida grande';">--</span><br>
<span style="font-family: 'lucida grande';"><b>Joel Esler | </b></span><span style="font-family: 'lucida grande';">Threat Intelligence Team Lead |</span><span style="font-family: 'lucida grande';"> Open Source Manager | Vulnerability Research Team</span></div>
<div><font face="Lucida Grande"><br>
</font>
<div>
<div>On Mar 4, 2014, at 12:07 PM, Eray Balkanli <<a href="mailto:Eray.Balkanli@...3489...">Eray.Balkanli@...3489...</a>> wrote:</div>
<br class="ecxApple-interchange-newline">
<blockquote>
<div style="font-family: helveticaneue; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;">
<div style="font-size: 12pt; background-color: #ffffff; font-family: calibri, arial, helvetica, sans-serif;">
<div><span style="font-size: 12pt;">Hi,</span><br>
</div>
<div style="color: #282828;">
<div style="font-size: 12pt; background-color: #ffffff; font-family: calibri, arial, helvetica, sans-serif;">
<div><br>
</div>
<div>I am a graduate Computer Science student at Dalhousie University. I have been working on some network records by using the rules included in Snort v2.9.6.0. I have a question related to those rules; I will be grateful if you reply.<br>
</div>
<div><br>
</div>
<div>May I ask that for how many recent years the defined rules are based on? I mean, from which year the attack signatures of malicious packets have been regarded?<br>
</div>
<div><br>
</div>
<div>Thank you very much in advance!<br>
</div>
<div><br>
</div>
<div>Best regars,<br>
</div>
<div>Eray<br>
</div>
</div>
</div>
</div>
------------------------------------------------------------------------------<br>
Subversion Kills Productivity. Get off Subversion & Make the Move to Perforce.<br>
With Perforce, you get hassle-free workflows. Merge that actually works.<span class="ecxApple-converted-space"> </span><br>
Faster operations. Version large binaries.  Built-in WAN optimization and the<br>
freedom to use Git, Perforce or both. Make the move to Perforce.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=122218951&iu=/4140/ostg.clktrk_______________________________________________" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=122218951&iu=/4140/ostg.clktrk_______________________________________________</a><br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit<span class="ecxApple-converted-space"> </span><a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a><span class="ecxApple-converted-space"> </span>for the latest news about Snort!</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</body>
</html>