Greetings  Esler,<br><br>        The following are the entries in snort.conf<br><br>      var HOME_NET <a href="http://172.16.16.251">172.16.16.251</a><br>      var EXTERNAL_NET any<br>      var HTTP_SERVERS $HOME_NET<br>      portvar HTTP_PORTS [80,443]<br>
<br>  The HTTP server is running on <a href="http://172.16.16.251">172.16.16.251</a> <br><br>   I also  modified the snort signature to <br><br>  alert tcp  any any -> any any   (msg:"uri content
testing successful "; flow:to_server,established; 
<br>  uricontent:"/server-info";  sid:1000007; )<br><br>  But still it is not firing the alert . <br><br><br>   regards<br>   zaman<br><br><br><br><div class="gmail_quote">On Wed, Feb 13, 2008 at 9:34 AM, Joel Esler <<a href="mailto:joel.esler@...435...">joel.esler@...435...</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div style="">I would first look at your directional statements.  How do you have $HTTP_SERVERS configured?  It is pointing towards $HOME_NET?  Is your $HOME_NET filled in?  <div>
<br></div><div>How about $EXTERNAL_NET?  How is that variable configured?</div><div><br></div><div>J</div><div><br><div><div><div></div><div class="Wj3C7c"><div>On Feb 13, 2008, at 5:49 AM, MD B Zaman L wrote:</div><br></div>
</div><blockquote type="cite"><div><div></div><div class="Wj3C7c">Greetings All,<br><br>         I am a new user of snort . I am finding some difficulty in using the snort signatures with uri content.<br><br>        I have created my own snort signature as follows to test for uri content.<br>
 <br>       alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80  (msg:"uri content testing successful "; flow:to_server,established; uricontent:"/server-info";   <br>       sid:1000007; )<br><br><br>     After that I tried to access the webpage  http://<http_server>/server-info  and verified with ethereal whether the content /server-info  is generated or not.<br>
      Ethereal was showing that the content was generated.<br><br>     But no alert was fired for the  above written signature .<br>   <br>     Please clarify me how to test signatures with uri content.<br><br>     Snort is working fine as I have checked with other signatures with no uricontent.<br>
 <br>       With Thanks in Advance<br><br>    regards<br>    zaman   <br><br> <br><br><br>     <br>    <br></div></div> -------------------------------------------------------------------------<br>This SF.net email is sponsored by: Microsoft<br>
Defy all challenges. Microsoft(R) Visual Studio 2008.<br><a href="http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/_______________________________________________" target="_blank">http://clk.atdmt.com/MRT/go/vse0120000070mrt/direct/01/_______________________________________________</a><br>
Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</blockquote></div><font color="#888888"><br><div> <span style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div style="">
<span style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><span style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px;"><div style="">
<div><br>--</div><div>Joel Esler  <a href="mailto:joel.esler@...435..." target="_blank">joel.esler@...435...</a></div><div><br></div></div></span><br></span><br></div></span> </div><br></font></div></div></blockquote>
</div><br>