<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>Hello Mike,</div>
<div>  Thank you for the Snort improvement recommendation.  Of your two options, I would vote to add an ADDER modifier to byte_extract to accompany the MULTIPLIER modifier.</div>
<div><br>
</div>
<div>  I will vet the concept with the team.  If appropriate I will place it on the Snort new feature list.  (And provide you with the proper attribution.)</div>
<div><br>
</div>
<div>    Best Regards,</div>
<div>    Ed  Borgoyn, The Snort Development Team @Cisco</div>
<div><br>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Mike Cox <<a href="mailto:mike.cox52@...2499...">mike.cox52@...2499...</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, October 9, 2014 at 1:22 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@lists.sourceforge.net</a>" <<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@...1656...rceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-devel] byte_extract addition?<br>
</div>
<div><br>
</div>
<blockquote id="MAC_OUTLOOK_ATTRIBUTION_BLOCKQUOTE" style="BORDER-LEFT: #b5c4df 5 solid; PADDING:0 0 0 5; MARGIN:0 0 0 5;">
<div>
<div>
<div dir="ltr">
<div>
<div>
<div>Hi Snort-Dev,<br>
<br>
I have come across a few situations in the past few weeks where it would be useful to be able to do simple addition in rules without having to write a SO rule.  I know that Snort has the byte_extract functionality and you can provide a multiplier value to the
 extracted bytes before it gets stored in the variable.  However, Are there any plans or thoughts that would allow addition (similar to multiplier) of static values (or variables from byte_extract) that would be applied to the extracted bytes before being stored
 in the variable?<br>
</div>
<br>
Or could byte_test be expanded to include simple addition?  For example, a byte_test that checks if extracted_value1 > extracted_value2 + 12.<br>
<br>
</div>
Thanks.<br>
<br>
</div>
-Mike Cox<br>
</div>
</div>
</div>
</blockquote>
</span>
</body>
</html>