<br><font size=2 face="sans-serif">This is my first time writing to this list so bare with me.  </font>
<br><font size=2 face="sans-serif">I see a lot of people posting P2P questions, so I just wanted to share rules that I use and if you can share your rules for P2P traffic discovery.</font>
<br><font size=2 face="sans-serif"># Local rules Developed by Dmitiry Dunavetsky</font>
<br><font size=2 face="sans-serif">alert tcp $HOME_NET any -> any 80 (flow: to_server,established; content:"P2P-Agent"; offset:0; msg:"Kazaa P2P Agent Start";)</font>
<br><font size=2 face="sans-serif">alert udp $HOME_NET any ->  $EXTERNAL_NET any (content:"|27 00 00 00 a9 80 4b 61 5a 61 41 00|"; msg:"Kazaa Started";)</font>
<br><font size=2 face="sans-serif">alert tcp $HOME_NET 1024:65535 -> $EXTERNAL_NET any (msg:"Kazaa access";flow: from_client; content: "GET /.hash="; nocase; classtype:bad-unknown;)</font>
<br><font size=2 face="sans-serif">alert tcp any any -> $HOME_NET 1214 (msg: "!!!!FastTrack Protocol (Morpheus/Kazaa) GET request"; content: "GET "; depth: 4; flags:A+; reference:url,www.musiccity.com/technology.htm; reference:url,www.kazaa.com; )</font>
<br><font size=2 face="sans-serif">alert tcp !$SMTP_SERVERS any -> $EXTERNAL_NET !80 (msg:"My - P2P GNUTella GET"; flow:to_server,established; content:"GET /uri-res/"; offset:0; depth:4; classtype:misc-activity; sid:1432;  rev:3;)</font>
<br><font size=2 face="sans-serif">alert udp $EXTERNAL_NET any -> $HOME_NET 7550 (msg:"Edonkey Connection"; content:"|6263 703a 2f2f|"; classtype:policy-violation;)</font>
<br><font size=2 face="sans-serif">alert tcp $HOME_NET any -> $EXTERNAL_NET 411 (msg:"Direct Connect P2P request"; flow: to_server,established; content:"$"; offset:0; depth:2;)</font>
<br><font size=2 face="sans-serif">alert tcp $HOME_NET any -> $EXTERNAL_NET 6699 (msg:"Possible WinMX P2P use"; flow:established; flags: PA;)</font>
<br>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td>
<td><font size=1 face="sans-serif"><b>james <hackerwacker@...225...></b></font>
<br><font size=1 face="sans-serif">Sent by: snort-sigs-admin@lists.sourceforge.net</font>
<p><font size=1 face="sans-serif">09/29/2003 10:34 PM</font>
<br><font size=1 face="sans-serif">Please respond to hackerwacker</font>
<br>
<td><font size=1 face="Arial">        </font>
<br><font size=1 face="sans-serif">        To:        Tony Hernandez <tonyh@...1915...></font>
<br><font size=1 face="sans-serif">        cc:        snort-sigs@lists.sourceforge.net</font>
<br><font size=1 face="sans-serif">        Fax to:        </font>
<br><font size=1 face="sans-serif">        Subject:        Re: [Snort-sigs] Using snort to Identify P2P transfers.</font></table>
<br>
<br>
<br><font size=2><tt>On Mon, 2003-09-29 at 09:51, Tony Hernandez wrote:<br>
I was wondering if anyone has snort on a router mirror port configured</tt></font>
<br>
<br>
<br><font size=2><tt>Yes, I mirror the edge routers Eth port to my Snort box.<br>
</tt></font>
<br>
<br><font size=2><tt>to identify p2p traffic ie - kazaa, gnutella, directconnect.. etc.<br>
</tt></font>
<br><font size=2><tt>Just looking for some info on this, experiences, example sigs etc..<br>
</tt></font>
<br>
<br><font size=2><tt>Snort comes with P2P rules, try turning them on.<br>
</tt></font>
<br>
<br>
<br><font size=2><tt>-------------------------------------------------------<br>
This sf.net email is sponsored by:ThinkGeek<br>
Welcome to geek heaven.<br>
http://thinkgeek.com/sf<br>
_______________________________________________<br>
Snort-sigs mailing list<br>
Snort-sigs@lists.sourceforge.net</tt></font>
<br><font size=2><tt>https://lists.sourceforge.net/lists/listinfo/snort-sigs</tt></font>
<br>
<br>