<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2900.2096" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>
<DIV><FONT face=Arial size=2><SPAN class=291160118-18052004>Referencing the 
message below, does this rule only ignore public SNMP access to printers but 
still alert on other public SNMP requests?  I want to make sure that I only 
ignore the printer SNMP requests.  Thanks....</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=291160118-18052004></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=291160118-18052004>Shawn</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV><FONT face=Arial><FONT size=2>Message: 2<BR>To: </FONT></FONT><A 
  href="mailto:snort-sigs@lists.sourceforge.net"><FONT face=Arial 
  size=2>snort-sigs@lists.sourceforge.net</FONT></A><BR><FONT face=Arial><FONT 
  size=2>From: </FONT></FONT><A 
  href="mailto:nnposter@...592..."><FONT face=Arial 
  size=2>nnposter@...592...</FONT></A><BR><FONT face=Arial><FONT 
  size=2>Date: Tue, 18 May 2004 10:38:43 -0600<BR>Subject: [Snort-sigs] Ignoring 
  Win32 SNMP printer checks</FONT></FONT></DIV>
  <DIV> </DIV><FONT face=Arial size=2>
  <DIV><BR>For those people who like to keep track of simple SNMP requests (sid 
  1411)<BR>but are inundated with Win2K and XP hosts checking network printer 
  status:</DIV>
  <DIV> </DIV>
  <DIV>pass udp $HOME_NET any -> $HOME_NET 161 <BR>(msg:"SNMP Win32 printer 
  status check"; byte_test:1,<,0x4f,1; <BR>content:"|02 01 00 04 
  06|public|a0|"; offset:2; depth:12; <BR>byte_jump:1,2,relative; 
  <BR>content:"|02 01 00 02 01 00 30 33 30 0f 06 0b 2b 06 01 02 01 19 03 02 01 
  05 <BR>01 05 00 30 0f 06 0b 2b 06 01 02 01 19 03 05 01 01 01 05 00 30 0f 06 0b 
  2b 06 <BR>01 02 01 19 03 05 01 02 01 05 00|"; distance:0; within:59; 
  <BR>classtype:not-suspicious; sid:put-your-own-here; rev:1;)</DIV>
  <DIV> </DIV>
  <DIV><BR>For those who want to know what's inside this rule:</DIV>
  <DIV> </DIV>
  <DIV>SNMP V1 PDU shorter than 0x4f, community string "public", no errors, and 
  OIDs:<BR>iso.3.6.1.2.1.25.3.2.1.5.1 
  (HOST-RESOURCES-MIB::hrDeviceStatus.1)<BR>iso.3.6.1.2.1.25.3.5.1.1.1 
  (HOST-RESOURCES-MIB::hrPrinterStatus.1)<BR>iso.3.6.1.2.1.25.3.5.1.2.1 
  (HOST-RESOURCES-MIB::hrPrinterDetectedErrorState</DIV></FONT></BLOCKQUOTE></FONT></DIV></BODY></HTML>