<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">
<TITLE>RE: [Snort-sigs] Edonkey - port 4662</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>I downloaded Edonkey yesterday and did some packet captures.  I also added joe's signatures to the system to see what it picks up.  I would like to know the files they downloaded as well.  I noticed that while edonkey is operating it uses UDP packets on port 7550.  These packets have a unique tag in them.  I was able to use this to write a rule.  It's noisy once they fire up Edonkey, but it quickly identifies them.  Since it is UDP you cannot use it for flex-resp rules, but it does allow you to go tap them on the shoulder and tell them to stop it.</FONT></P>

<P><FONT SIZE=2>alert udp $EXTERNAL_NET any -> $HOME_NET 7550 (msg:"Edonkey Connection"; content:"|6263 703a 2f2f|"; classtype:policy-violation;)</FONT></P>

<P><FONT SIZE=2>6263 703a 2f2f = "bcp://"</FONT>
</P>

<P><FONT SIZE=2>Thanks,</FONT>
<BR><FONT SIZE=2>Derek</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: Gustavo Beltrami Rossi [<A HREF="mailto:rossi@...202....1271...">mailto:rossi@...1271...</A>] </FONT>
<BR><FONT SIZE=2>Sent: Thursday, June 26, 2003 11:20 AM</FONT>
<BR><FONT SIZE=2>To: 'snort-sigs@lists.sourceforge.net'</FONT>
<BR><FONT SIZE=2>Subject: Re: [Snort-sigs] Edonkey - port 4662</FONT>
</P>

<P><FONT SIZE=2>Hi Joe, thanks for your answer, but I'm looking for a signature not</FONT>
<BR><FONT SIZE=2>based on ports, since the user can change that.</FONT>
</P>

<P><FONT SIZE=2>Thanks,</FONT>
<BR><FONT SIZE=2>Rossi.</FONT>
</P>
<BR>

<P><FONT SIZE=2>On Qui, 2003-06-26 at 12:53, Joe Matusiewicz wrote:</FONT>
<BR><FONT SIZE=2>> At 05:33 PM 6/25/03, O'Flynn, Derek wrote:</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> > Anyone have a rule that can detect Edonkey starting up, or</FONT>
<BR><FONT SIZE=2>> > requesting a file.  I am about to go try to do some sniffer</FONT>
<BR><FONT SIZE=2>> > captures, but was wondering if someone already had a working rule.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> These worked for me a while back after looking at trace logs.  They're</FONT>
<BR><FONT SIZE=2>> for snort 1.x.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> alert tcp any !80 -> any 4662 (flags: SA; tag: session, 10, packets;</FONT>
<BR><FONT SIZE=2>> msg: "Posible eDonkey Traffic";)</FONT>
<BR><FONT SIZE=2>> alert tcp any 4662 -> any !80 (flags: SA; tag: session, 10, packets;</FONT>
<BR><FONT SIZE=2>> msg: "Possible eDonkey Traffic";)</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> I looked for part 2 of the handshake and captured a few packets of an</FONT>
<BR><FONT SIZE=2>> ongoing connection.  Excluding port 80 helped eliminate normal web</FONT>
<BR><FONT SIZE=2>> traffic using 4662 as the source port. The packet with the name of the</FONT>
<BR><FONT SIZE=2>> file downloaded couldn't be isolated so I had to look at the trailing</FONT>
<BR><FONT SIZE=2>> packets.  It worked like a champ for me because I could pin down the</FONT>
<BR><FONT SIZE=2>> the names of the files being downloaded.  But YMMV.</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> Hope this helps,</FONT>
<BR><FONT SIZE=2>> </FONT>
<BR><FONT SIZE=2>> -- Joe</FONT>
<BR><FONT SIZE=2>> </FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.Net email is sponsored by: INetU</FONT>
<BR><FONT SIZE=2>Attention Web Developers & Consultants: Become An INetU Hosting Partner.</FONT>
<BR><FONT SIZE=2>Refer Dedicated Servers. We Manage Them. You Get 10% Monthly Commission!</FONT>
<BR><FONT SIZE=2>INetU Dedicated Managed Hosting <A HREF="http://www.inetu.net/partner/index.php" TARGET="_blank">http://www.inetu.net/partner/index.php</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-sigs mailing list</FONT>
<BR><FONT SIZE=2>Snort-sigs@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-sigs" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</A></FONT>
</P>

</BODY>
</HTML>