<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2800.1264" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=940221921-11112003>Try 
ngrep with some of the usual  HTTP patterns. You can output format to get 
IP SRC, IP DST and port.</SPAN></FONT></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Nosnos 
  [mailto:nosnos94@...1123...]<BR><B>Sent:</B> Monday, November 10, 2003 10:53 
  AM<BR><B>To:</B> snort-sigs@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-sigs] rules and protocol URL<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial size=2>Hi,</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>I want to know how to write a rule that only 
  match traffic that correspond to HTTP protocol ... ? I know that often rules 
  try to match the port 80, but I want a rules that detect http protocol and are 
  not based on port number ....</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>(I want the same things for pop or stmp protocol) 
  ...</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>thx a lot</FONT></DIV></BLOCKQUOTE></BODY></HTML>