<div dir="ltr"><div><div><div><div><div><div><div>Hi,<br><br></div>I've been playing with openappid for some days and i ran into some possible issues. Until now i have been just creating appstats to monitor my network app access, but now i decided to block some apps using appid.<br><br></div>So, for instance i'm trying to block skype on my network with this rule:<br><br>reject tcp [any] any <> any any (msg : "skype:drop"; appid: skype; sid:100002; rev:4; )<br><br></div>I can see skype matched on my appstats log file:<br><br># u2openappid /var/log/snort/appstats-u2.log.1432303025 | grep skype<br>statTime="1432303060",appName="skype",txBytes="1397",rxBytes="1176"<br><br></div>And i can see skype dropped on alert log:<br><br># cat /var/log/snort/alert.fast | grep skype<br>05/22-10:57:43.209273  [**] [1:100002:4] skype:drop [**] [Priority: 0] {TCP} x.x.x.x.:36101 -> <a href="http://91.190.218.69:80">91.190.218.69:80</a><br>05/22-10:57:43.420046  [**] [1:100002:4] skype:drop [**] [Priority: 0] {TCP} <a href="http://91.190.218.69:80">91.190.218.69:80</a> -> x.x.x.x:36101<br><br></div>My it's keeping working on my network, it wasn't blocked. Skype is just an example, but i've the same issue with other apps like SSH and FTP (in fact i don't know why but ftp protocol is not recognized by appid). Even if i try to block chrome appid, it doesn't work. <br><br></div>Another thing is: many times i realized my snort process is increasing CPU load after some reject rule matched, it's a kind of loop on rules, i'm not sure what's going on.<br><br></div>Thanks and congrats for good work.<br><div><div><div><div><br><div><div><br></div></div></div></div></div></div></div>