<div dir="ltr"><div>Hi Costas,</div><div> </div><div>I tried "-k none" and "-P 9000" options also but no luck again. </div><div> </div><div>However, I have a new observation this time. I see gmail getting blocked when I used Chrome38 browser but not while using IE10 or Firefox27. I tried with old as well as new detector and found that gmail is blocked on both when I use Chrome.</div><div> </div><div>Here are my rules (drop rule) :-</div><div> </div><div>drop tcp [any] any <> any any (msg : "bing:drop"; appid: bing; sid:100000; rev:4; )<br>drop udp [any] any <> any any (msg : "bing:drop"; appid: bing; sid:100004; rev:4; )<br>drop tcp [any] any <> any any (msg : "gmail:drop"; appid: gmail; sid:100010; rev:4; )<br>drop udp [any] any <> any any (msg : "gmail:drop"; appid: gmail; sid:100014; rev:4; )<br>drop tcp [any] any <> any any (msg : "google_accounts:drop"; appid: google_accounts; sid:100017; rev:4; )<br>drop udp [any] any <> any any (msg : "google_accounts:drop"; appid: google_accounts; sid:100018; rev:4; )<br>drop tcp [any] any <> any any (msg : "google_drive:drop"; appid: google_drive; sid:100019; rev:4; )<br>drop udp [any] any <> any any (msg : "google_drive:drop"; appid: google_drive; sid:100020; rev:4; )<br></div><div>I am attaching here in this email</div><div> </div><div>1) Alert and Drop output of gmail   (both from IE and Chrome)</div><div>2) Alert and drop Pcap files (both from IE and Chrome)</div><div> </div><div>Regards,</div><div>Sabu</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Nov 2, 2014 at 5:54 AM, Costas Kleopa (ckleopa) <span dir="ltr"><<a href="mailto:ckleopa@...5..." target="_blank">ckleopa@...5...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div dir="auto">
<div>
<div><span style="background-color:rgba(255,255,255,0)">Have you tried using in your snort command line argumes the "-k none” for</span></div>
<div><font color="#000000"><span style="background-color:rgba(255,255,255,0)">not ignoring bad checksums, and “-P 9000” to allow packets with large PDU<br>
</span></font></div>
<div><font color="#000000"><span style="background-color:rgba(255,255,255,0)">traffic in it?</span></font></div>
</div>
<div><font color="#000000"><span style="background-color:rgba(255,255,255,0)"><br>
</span></font></div>
<div><font color="#000000"><span style="background-color:rgba(255,255,255,0)">If that did not work please send us the snort rules you are using with AppID, </span></font></div>
<div><font color="#000000"><span style="background-color:rgba(255,255,255,0)">some traffic with the alert output of the gmail rules and we will investigate it into detail. </span></font></div>
<div><br>
Thanks,
<div><span>Costas</span></div>
</div><div><div class="h5">
<div><br>
On Nov 1, 2014, at 8:18 AM, Sabu Thaliyath <<a href="mailto:sabu.thaliyath@...8..." target="_blank">sabu.thaliyath@...8...</a>> wrote:<br>
<br>
</div>
<blockquote type="cite">
<div>
<div dir="ltr">
<div>
<div>
<div>Hi Costas,<br>
<br>
Thanks..I downloaded the new version but still no luck ..It detects http sites perfectly but not https.<br>
<br>
</div>
<div>I tried <a href="http://mail.google.com" target="_blank">http://mail.google.com</a> and it blocked however it is unable to block
<a href="https://mail.google.com" target="_blank">https://mail.google.com</a> .<br>
</div>
<div><br>
</div>
<b>Here is how my environment is setup</b>.  (Just in case if env is the issue) <br>
<br>
</div>
Windows 7, IE 10 & FF 27 browsers as my client system<br>
</div>
Linux Fedora 13 system as my default gateway with snort-openappid installed.<br>
<div>
<div>
<div><br>
[root@...50... openappid]# cat odp/version.conf<br>
VERSION=223<br>
[root@...50... openappid]#<br>
<br>
Version 2.9.7.0 GRE (Build 149)<br>
Using libpcap version 1.0.0<br>
Using PCRE version: 7.8 2008-09-05<br>
Using ZLIB version: 1.2.3<br>
Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1><br>
<br>
<br>
</div>
<div>Here is the log of <b>http</b> website<br>
</div>
<div><br>
Nov  1 17:38:26 Fedora13 snort[2819]: [1:100010:4] appid_gmail:block {TCP} <a href="http://74.125.236.118:80" target="_blank">
74.125.236.118:80</a> -> <a href="http://192.168.121.99:64718" target="_blank">192.168.121.99:64718</a><br>
<br>
</div>
<div>Just to be sure, I am going to try it on latest Ubuntu. <br>
<br>
</div>
<div>If OS is not an issue here, then please let me know if there is any troubleshooting steps or logs I can get to help resolve this issue.<br>
<br>
</div>
<div>Regards,<br>
Sabu<br>
</div>
</div>
</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Fri, Oct 31, 2014 at 10:16 PM, Costas Kleopa (ckleopa)
<span dir="ltr"><<a href="mailto:ckleopa@...5..." target="_blank">ckleopa@...5...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">
<div style="font-size:14px">
<div><font face="Verdana">Sabu,</font></div>
<div><font face="Verdana"><br>
</font></div>
<div><font face="Verdana">We have actually released a new version of our detector package today at
<a href="https://www.snort.org/downloads" target="_blank">https://www.snort.org/downloads</a>, in which we have also included the fix for this issue. </font></div>
<div><font face="Verdana"><br>
</font></div>
<div><font face="Verdana">Feel free to download that one and make sure that your version of the odp package would be the following:</font></div>
<div><font face="Verdana"><br>
</font></div>
<div>
<p style="margin:0px"><font face="Verdana">odp/version.conf </font></p>
<p style="margin:0px"><font face="Verdana">VERSION=223</font></p>
</div>
<div><font face="Verdana"><br>
</font></div>
<div><font face="Verdana">Let us know if you are still seeing more issues after you test it with this one.</font></div>
<div><font face="Verdana"><br>
</font></div>
<div><font face="Verdana">Thanks</font></div>
<div><font face="Verdana">Costas</font></div>
<div style="color:rgb(0,0,0);font-family:Calibri,sans-serif"><br>
</div>
<div style="color:rgb(0,0,0);font-family:Calibri,sans-serif"><br>
</div>
<span style="color:rgb(0,0,0);font-family:Calibri,sans-serif">
<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(181,196,223) currentColor currentColor;padding:3pt 0in 0in;text-align:left;color:black;font-family:Calibri;font-size:11pt">
<span style="font-weight:bold">From: </span>Sabu Thaliyath <<a href="mailto:sabu.thaliyath@...8..." target="_blank">sabu.thaliyath@...8...</a>><br>
<span style="font-weight:bold">Date: </span>Friday, October 31, 2014 at 12:35 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:Snort-openappid@lists.sourceforge.net" target="_blank">Snort-openappid@...7...rceforge.net</a>" <<a href="mailto:Snort-openappid@...12...rge.net" target="_blank">Snort-openappid@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-openappid] Gmail detection<br>
</div>
<div>
<div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div style="font-family:arial,sans-serif;font-size:13px">Hi Costas,</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">I am facing the same issue as Payman. Tried tweaking ' openappid/odp/lua/ssl_host_group_belvedere.lua ' to get gmail blocked. But no luck. I see none of the https websites or applications getting blocked. </div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">Is there any documentation on how lua/ssl_host_group_belvedere.lua works ? I read Opensource Detectors developer guide but still couldn't figure out much.</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">Any plans to fix this issue ?</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">Regards,</div>
<div style="font-family:arial,sans-serif;font-size:13px">Sabu</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">
<table style="margin:0px 0px 20px 10px;padding:0px;outline:0px;border:0px currentColor;width:765px;color:rgb(85,85,85);line-height:18px;font-family:sans-serif;vertical-align:baseline;border-collapse:collapse;border-spacing:0px">
<tbody style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline">
<tr style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline">
<td style="background:rgb(221,221,221);border-width:0px 0px 1px;padding:5px 10px;outline:0px;vertical-align:middle;border-bottom-color:rgb(229,229,229);border-bottom-style:solid;white-space:nowrap">
<div style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline">
<div style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline">
<b style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline"><a style="margin:0px;padding:0px;color:rgb(0,102,153);text-decoration:none;vertical-align:baseline" href="http://sourceforge.net/p/snort/mailman/message/32704933/" target="_blank">Re:
 [Snort-openappid] Gmail detection</a></b></div>
<small style="margin:0px;padding:0px;outline:0px;border:0px currentColor;font-size:11px;vertical-align:baseline">From: Costas Kleopa (ckleopa) <ckleopa@...49...> - 2014-08-11 14:45:14</small>
<div style="margin:0px;padding:0px;outline:0px;border:0px currentColor;vertical-align:baseline">
<small style="margin:0px;padding:0px;outline:0px;border:0px currentColor;font-size:11px;vertical-align:baseline"> </small></div>
</div>
</td>
</tr>
</tbody>
</table>
</div>
<div style="font-family:arial,sans-serif;font-size:13px"><br>
</div>
<div style="font-family:arial,sans-serif;font-size:13px">
<pre style="border-width:0px 0px 0px 1px;padding:15px;outline:0px;color:rgb(85,85,85);line-height:18px;overflow:auto;font-family:monospace,sans-serif;margin-top:0px;margin-bottom:0px;vertical-align:baseline;border-left-color:rgb(229,229,229);border-left-style:solid;white-space:pre-wrap">Payman,

Thank you for bringing it to our attention.

The correct configuration files for gmail are with the use of the the SSL Host patterns.
If you see the openappid/odp/lua/ssl_host_group_belvedere.lua we have the following patterns now.


 { 0, 655, '*.<a href="http://mail.google.com/" target="_blank">mail.google.com</a>' },

 { 0, 655, '<a href="http://imap.gmail.com/" target="_blank">imap.gmail.com</a>' },


We will put the fix for this in our next release to allow the proper SSL patterns from <a href="http://gmail.com/" target="_blank">gmail.com</a> and <a href="http://mail.google.com/" target="_blank">mail.google.com</a>.

Thanks
Costas

From: Peyman Gohari <peyman.gohari.pub@...39...<mailto:<a href="mailto:peyman.gohari.pub@" target="_blank">peyman.gohari.pub@</a>...>>
Date: Monday, August 11, 2014 at 10:04 AM
To: "snort-openappid@...39...<mailto:<a href="mailto:snort-openappid@" target="_blank">snort-openappid@</a>...>" <snort-openappid@...39...<mailto:<a href="mailto:snort-openappid@" target="_blank">snort-openappid@</a>...>>
Subject: [Snort-openappid] Gmail detection

Hi

  I have been trying OpenAppId using snort-2.9.7.0_beta.
  I am quite happy with the result when it comes to detecting non HTTPS sites (ex:<a href="http://cnn.com/" target="_blank">cnn.com</a><<a style="margin:0px;padding:0px;color:rgb(0,102,153);text-decoration:none;vertical-align:baseline" href="http://cnn.com%3E/" target="_blank" rel="nofollow">http://cnn.com></a>; as per the tutorial).
  However, for an obscure reason, it does not recognise Gmail. It seems that the code used for detecting Gmail sits in openappid/odp/lua/payload_gmail_userid.lua, with the core function being:

function DetectorInit(detectorInstance)
    gDetector = detectorInstance
    if (gDetector.CHPCreateApp and gDetector.CHPAddAction) then
        gDetector:CHPCreateApp(655, 1, 0);
        gDetector:CHPAddAction(655, 1, 1, "<a href="http://mail.google.com/" target="_blank">mail.google.com</a><<a style="margin:0px;padding:0px;color:rgb(0,102,153);text-decoration:none;vertical-align:baseline" href="http://mail.google.com%3E%22/" target="_blank" rel="nofollow">http://mail.google.com>"</a>;, 0, "");
        gDetector:CHPAddAction(655, 0, 3, "mail", 0, "");
        gDetector:CHPAddAction(655, 0, 3, "?gxlu=", 2, "&");
    end
    return gDetector
end

  I am curious to understand how the recognition of sites like Gmail works. I am looking for documentation on the function CHPCreateApp or any explanation on how the function DetectorInit works. If someone can help me, that would be great.

Thanks for your help
PG</pre>
</div>
</div>
</div>
</div>
</div>
</div>
</span></div>
</blockquote>
</div>
<br>
</div>
</div>
</blockquote>
</div></div></div>

</blockquote></div><br></div>