Okay, that's a good point.  :)  So, change the 00 00 00 00's in my example to 90 90 90 90.<div><br></div><div>J<br><br><div class="gmail_quote">On Thu, Jul 9, 2009 at 10:11 AM, Todd Wease <span dir="ltr"><<a href="mailto:twease@...435...">twease@...435...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">As a note, the pattern "|00 00 00 00 00 00 00 00 00 00 00|" will *not*<br>
be considered more unique than "esler".  Snort will trim off leading<br>
zeros in finding the "longest" pattern.  This was shown to increase<br>
performance.  So if you want to use a string with a bunch of leading<br>
zeros as the fast pattern you will need to add the fast_pattern modifier<br>
to it.<br>
<div class="im"><br>
<br>
Joel Esler wrote:<br>
> On Thu, Jul 9, 2009 at 9:50 AM, Zultan <<a href="mailto:zultan@...202....1298...">zultan@...1298...</a><br>
</div><div class="im">> <mailto:<a href="mailto:zultan@...1298...">zultan@...1298...</a>>> wrote:<br>
><br>
><br>
>     > ----- Original Message -----<br>
>     > From: "Matt Olney" <<a href="mailto:molney@...435...">molney@...435...</a><br>
</div><div class="im">>     <mailto:<a href="mailto:molney@...202....435...">molney@...435...</a>>><br>
>     > To: Zultan <<a href="mailto:zultan@...1298...">zultan@...1298...</a><br>
</div><div class="im">>     <mailto:<a href="mailto:zultan@...202....1298...">zultan@...1298...</a>>><br>
>     > Cc: <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a><br>
</div><div><div></div><div class="h5">>     <mailto:<a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>><br>
>     > Subject: Re: [Snort-sigs] fast_pattern rules option<br>
>     > Date: Thu, 9 Jul 2009 08:48:49 -0400<br>
>     ><br>
>     ><br>
>     > Not sure I understand  your question, but:<br>
><br>
><br>
>     OK here's a longer example...<br>
><br>
>     Say I want to detect a unique HTTP User-Agent string.  (They can<br>
>     be way down inside the client's GET request.)<br>
><br>
>     So to get snort to only examine client HTTP GET requests, instead<br>
>     of all client traffic, I usually write it as:<br>
><br>
>     alert tcp $HOME_NET any -> #EXTERNAL_NET 80 (msg:"..........";<br>
>     flow:established,to_server; content:"GET "; depth:4;<br>
>     content:"User-Agent\: long_spyware_user-agent_string"; sid:......;<br>
>     etc.)<br>
><br>
>     But the way I'm reading the fast_pattern write-up on the VRT blog,<br>
>     I really should write it as this instead:<br>
><br>
>     alert tcp $HOME_NET any -> #EXTERNAL_NET 80 (msg:"..........";<br>
>     flow:established,to_server; content:"GET "; depth:4; fast_pattern;<br>
>     content:"User-Agent\: long_spyware_user-agent_string"; sid:......;<br>
>     etc.)<br>
><br>
>     Because if I do my old way, by default it will first look for<br>
>     "User-Agent\: long_spyware_user-agent_string" (unless I use<br>
>     fast_pattern after content:"GET ").<br>
><br>
><br>
> In that example, I'd want to use the long spyware string as the fp<br>
> match.  It's more unique than the GET would be.  Uniqueness is what<br>
> counts.  Let's say you have a NON-unique string that is 20 bytes long.<br>
>  Say "|00 00 00 00 00...etc"<br>
><br>
> Then, you have a shorter string, lets say, my last name "esler" which<br>
> is 5 characters, much shorter than the 20 byte string.  The 20 byte<br>
> string would be picked up "naturally" by Snort's FP matcher, however,<br>
> the "Esler" string is more unique, so I could specify the content<br>
> match for "Esler" to be forced into the fast_pattern matcher instead<br>
> of the 20 byte "|00 00 00 etc" string.<br>
><br>
> In your example, I'd want to use the long_spyware string, as it is<br>
> more unique than a GET.  A GET will occur hundreds of thousands a<br>
> times a day.  The spyware string may only occur once.<br>
><br>
> J<br>
><br>
><br>
><br>
><br>
> --<br>
> joel esler | Sourcefire | AIM: eslerjoel | 302-223-5974<br>
</div></div>> ------------------------------------------------------------------------<br>
<div><div></div><div class="h5">><br>
> ------------------------------------------------------------------------------<br>
> Enter the BlackBerry Developer Challenge<br>
> This is your chance to win up to $100,000 in prizes! For a limited time,<br>
> vendors submitting new applications to BlackBerry App World(TM) will have<br>
> the opportunity to enter the BlackBerry Developer Challenge. See full prize<br>
> details at: <a href="http://p.sf.net/sfu/Challenge" target="_blank">http://p.sf.net/sfu/Challenge</a><br>
> ------------------------------------------------------------------------<br>
><br>
> _______________________________________________<br>
> Snort-sigs mailing list<br>
> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...3134...ourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
><br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>joel esler | Sourcefire | AIM: eslerjoel | 302-223-5974<br>
</div>