<style>blockquote {padding-left: 1ex; margin: 0px 0px 0px 0.8ex; border-left: #cccccc 1px solid;} p {margin: 0px;padding: 0px;} </style>
<p> </p>
<p>Hello,</p>
<p>I encountered an issue while creating openappid detector for website, to create detector I used appid detector builder.</p>
<p>After creating few detectors using TCP with hex pattern and HTTP url neither of them is used while capturing packets, in logs is shown as unknown.</p>
<p> </p>
<p>Snort dir: /etc/snort</p>
<p>AppID dir: /etc/snort/odp</p>
<p> </p>
<p>Path for preprocessor appid is configured as /etc/snort</p>
<p>Created *.lua files are in /etc/snort/odp/custom/lua</p>
<p> </p>
<p>Created detectors:</p>
<p> </p>
<p>--[[</p>
<p>detection_name: antyweb1</p>
<p>version: 1</p>
<p>description: antyweb1 wants a better description.</p>
<p>--]]</p>
<p> </p>
<p>require "DetectorCommon"</p>
<p>local DC = DetectorCommon</p>
<p> </p>
<p>local proto = DC.ipproto.tcp;</p>
<p>DetectorPackageInfo = {</p>
<p>        name = "antyweb1",</p>
<p>        proto = proto,</p>
<p>        server = {</p>
<p>                init = 'DetectorInit',</p>
<p>                clean = 'DetectorClean',</p>
<p>                minimum_matches = 1</p>
<p>        }</p>
<p>}</p>
<p> </p>
<p>function DetectorInit(detectorInstance)</p>
<p> </p>
<p>        gDetector = detectorInstance;</p>
<p>        gAppId = gDetector:open_createApp("antyweb1");</p>
<p> </p>
<p>        if gDetector.addPortPatternServer then</p>
<p>                gDetector:addPortPatternServer(proto,80,"\x48\x6f\x73\x74\x3a\x20\x61\x6e\x74\x79\x77\x65\x62\x2e\x70\x6c\x0d\x0a",54, gAppId);</p>
<p>                gDetector:addPortPatternServer(proto,443,"\x48\x6f\x73\x74\x3a\x20\x61\x6e\x74\x79\x77\x65\x62\x2e\x70\x6c\x0d\x0a",54, gAppId);</p>
<p>        end</p>
<p> </p>
<p>        return gDetector;</p>
<p>end</p>
<p> </p>
<p>function DetectorClean()</p>
<p>end</p>
<p> </p>
<p>=========</p>
<p> </p>
<p> </p>
<p>--[[</p>
<p>detection_name: antyweb3</p>
<p>version: 1</p>
<p>description: antyweb3 wants a better description.</p>
<p>--]]</p>
<p> </p>
<p>require "DetectorCommon"</p>
<p>local DC = DetectorCommon</p>
<p> </p>
<p>local proto = DC.ipproto.tcp;</p>
<p>DetectorPackageInfo = {</p>
<p>        name = "antyweb3",</p>
<p>        proto = proto,</p>
<p>        server = {</p>
<p>                init = 'DetectorInit',</p>
<p>                clean = 'DetectorClean',</p>
<p>                minimum_matches = 1</p>
<p>        }</p>
<p>}</p>
<p> </p>
<p>function DetectorInit(detectorInstance)</p>
<p> </p>
<p>        gDetector = detectorInstance;</p>
<p>        gAppId = gDetector:open_createApp("antyweb3");</p>
<p> </p>
<p>        if gDetector.addAppUrl then</p>
<p>                gDetector:addAppUrl(0, 0, 0, gAppId, 0, "antyweb.pl", "/", "http:", "", gAppId);</p>
<p>        end</p>
<p> </p>
<p>        return gDetector;</p>
<p>end</p>
<p> </p>
<p>function DetectorClean()</p>
<p>end</p>
<p> </p>
<p>=======</p>
<p> </p>
<p>appid log:</p>
<p><img title="ll.png" src="cid:userimage-1" alt="ll.png" border="0" /></p>
<p> </p>
<p>Any advice would be appreciated, Thanks.</p>
<p> </p><br />