<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body dir="auto">
<div>With the alerts that should at least  give you the end of the connection. For AppID, we won't know what the application is from the first Syn packet since we need a deeper inspection to find the application so we would only provide the alert when the connection
 ends.  </div>
<div><br>
</div>
<div>If you are seeing more alerts even in a per TCP session then please send us the rules you are using, the configuration and some of the log output of the alert results and we will investigate it internally. <br>
<br>
Thanks,
<div><span class="Apple-style-span" style="-webkit-tap-highlight-color: rgba(26, 26, 26, 0.296875); -webkit-composition-fill-color: rgba(175, 192, 227, 0.230469); -webkit-composition-frame-color: rgba(77, 128, 180, 0.230469); ">Costas</span></div>
</div>
<div><br>
On Nov 1, 2014, at 8:01 PM, "<a href="mailto:dpifun@...43...">dpifun@...43...</a>" <<a href="mailto:dpifun@...43...">dpifun@...43...</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div><span style="font-family: Arial; font-size: 13px;">Costas,
<div><br>
</div>
<div>Thanks for the quick reply! What about a rule to get the start/end of a connection for ssh?</div>
<div><br>
</div>
<div>Originally, we thought we could use the Syn and Fin flags along with flowbits. That didn't work though.</div>
<div><br>
</div>
<div>Thanks!<br>
<br>
<br>
<br>
Sent using Hushmail<br>
<br>
<br>
On 11/1/2014 at 7:58 PM, "Costas Kleopa (ckleopa)" <<a href="mailto:ckleopa@...5...">ckleopa@...5...</a>> wrote:
<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;">
<div>
<div></div>
<div dir="auto">
<div>Unfortunately, providing the received and send bytes per connection in the alerts is something that is not supported in this release, and we have also noted it in our roadmap for this feature. </div>
<div><br>
</div>
<div>The only way you can get the received/send bytes per AppID is on a per timed interval through the use of the app-stats logs.  <br>
<br>
Thanks,
<div><span class="Apple-style-span" style="">Costas</span></div>
</div>
<div><br>
On Nov 1, 2014, at 7:47 PM, "<a>dpifun@...43...</a>" <<a>dpifun@...43...</a>> wrote:<br>
<br>
</div>
<blockquote>
<div><span style="font-family:Arial;font-size:13px;">We're trying to detect apps with rules to get the IP, port pair. But, we've run into a snag.
<div><br>
</div>
<div>A simple rule for detecting SSH connections regardless of the port:</div>
<div><br>
</div>
<div>alert tcp any any -> any any (msg:”ssh”; appid: ssh openssh; sid:1000000; rev:1)</div>
<div><br>
</div>
<div>This rule, however, creates a huge number of alerts for a single SSH connection.  While we're not snort rule experts, using flowbits seems to be the way. But, we're a bit lost on how to get  ONLY an alert at the beginning of an SSH connection and at the
 end. It would be cool if we could get the number of bytes sent/received for the connection but that seems impossible.</div>
<div><br>
</div>
<div>We tried using the S and F flags without success.</div>
<div><br>
</div>
<div>Any help appreciated!</div>
<div><br>
</div>
</span></div>
</blockquote>
<blockquote>
<div><span>------------------------------------------------------------------------------</span><br>
</div>
</blockquote>
<blockquote>
<div><span>_______________________________________________</span><br>
<span>Snort-openappid mailing list</span><br>
<span><a>Snort-openappid@lists.sourceforge.net</a></span><br>
<span><a target="_blank" href="https://lists.sourceforge.net/lists/listinfo/snort-openappid" onclick="window.open('https://lists.sourceforge.net/lists/listinfo/snort-openappid');return false;">https://lists.sourceforge.net/lists/listinfo/snort-openappid</a></span><br>
<span></span><br>
<span>Please visit <a target="_blank" href="http://blog.snort.org" onclick="window.open('http://blog.snort.org');return false;">
http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
</div>
</blockquote>
</div>
</span></div>
</blockquote>
</body>
</html>