<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>

<TITLE>Message</TITLE>

<META content="MSHTML 6.00.2715.400" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003>        Hi 
All,</SPAN></FONT></DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003></SPAN></FONT> </DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003>        Can somebody 
help to find out what is the equivalent option of byte_test and byte_jump in 
snort 1.9.1 engine. The Snort 1.9.1 does not support byte_test and byte_jump. 
But I am still using snort 1.9.1 and my signature is the latest 
one.</SPAN></FONT></DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003></SPAN></FONT> </DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003></SPAN></FONT> </DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003>         
Thank You</SPAN></FONT></DIV>
<DIV><FONT color=#0000ff size=2><SPAN 
class=934092906-21042003></SPAN></FONT><FONT face=Tahoma><FONT size=2><SPAN 
class=934092906-21042003><FONT face=Verdana 
color=#0000ff> </FONT></SPAN>-----Original Message-----<BR><B>From:</B> 
snort-sigs-admin@lists.sourceforge.net 
[mailto:snort-sigs-admin@lists.sourceforge.net]<B>On Behalf Of </B>Scott, 
Joshua<BR><B>Sent:</B> Wednesday, April 16, 2003 6:04 AM<BR><B>To:</B> 
'snort-sigs@...198...'<BR><B>Subject:</B> [Snort-sigs] SID 1042 and 
WebDAV<BR><BR></DIV></FONT></FONT>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV><SPAN class=564285316-15042003><FONT face=Arial><FONT size=2>I'm getting 
  bombarded by alerts from SID 1042 - "<FONT face="Times New Roman"><FONT 
  face=Arial>WEB-IIS view source via translate header".  According to the 
  info on Arachnids, false positives may be generated due to WebDAV 
  requests.  There seem to be a lot of instances of legitimate WebDAV 
  requests (or so I think).  I've found that Outlook Express communication 
  with Hotmail, Outlook Web Access(OWA) client communication, and 
  even OWA communication between servers uses WebDAV.  We're a very 
  large Exchange shop (hundreds of servers across the globe) so creating a pass 
  rule or BPF filter at each sensor would be an administrative 
  nightmare.</FONT></FONT></FONT></FONT></SPAN></DIV>
  <DIV><SPAN class=564285316-15042003><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=564285316-15042003><FONT face=Arial size=2>I'd like to look 
  into any possible alternatives before disabling the sig.  Can anyone 
  offer any insight?  Am I correct that Exchange/OWA/Outlook Express uses 
  WebDAV?  How do other Exchange shops running Snort handle this sig?  
  Do most people leave this sig enabled?</FONT></SPAN></DIV>
  <DIV><SPAN class=564285316-15042003><FONT face=Arial 
  size=2></FONT></SPAN> </DIV>
  <DIV><SPAN class=564285316-15042003><FONT face=Arial size=2>Thank 
  you,</FONT></SPAN></DIV><!-- Converted from text/rtf format -->
  <P align=left><SPAN lang=en-us><FONT face=Arial size=2>Joshua 
  Scott</FONT></SPAN> <BR><SPAN lang=en-us><FONT face=Arial size=2>Security 
  Architect, CISSP</FONT></SPAN></P>
  <DIV> </DIV>
  <P>==============================================================================<BR>NOTICE 
  - This communication may contain confidential and privileged <BR>information 
  that is for the sole use of the intended recipient. Any viewing,<BR>copying or 
  distribution of, or reliance on this message by unintended<BR>recipients is 
  strictly prohibited. If you have received this message in<BR>error, please 
  notify us immediately by replying to the message and deleting<BR>it from your 
  computer.<BR><BR>==============================================================================<BR></P></BLOCKQUOTE></BODY></HTML>