<div>just one machine in all, running windows xp, then snort 2.8.5.1</div>
<div> </div>
<div>when we open a dos window and issue any ping, it alerts the dos screen onto which snort is running,</div>
<div>and it also gets logged. </div>
<div> </div>
<div>Now from that machine we open an instance of internet explorer 8, and visit <a href="http://www.ebay.com/">www.ebay.com</a></div>
<div> </div>
<div>we expect to see the alert on the dos screen(or logged in snort) just as the alert from ping.</div>
<div> </div>
<div>should we try something else?</div>
<div><br> </div>
<div class="gmail_quote">On Thu, Nov 19, 2009 at 2:35 PM, Jason Brvenik <span dir="ltr"><<a href="mailto:jasonb@...435...">jasonb@...435...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">where are you accessing ebay from and where is snort in that equation,<br>what are the machines involved?<br>

<div>
<div></div>
<div class="h5"><br>On Thu, Nov 19, 2009 at 2:27 PM, mary andrews <<a href="mailto:maryandrews22@...2420...">maryandrews22@...2420...</a>> wrote:<br>> we are pulling our hair on this one...<br>><br>> alert tcp any any -> any any (msg:"test eBay rule"; flow:established;<br>
> content:"ebay"; nocase; rawbytes; sid:1000002;rev:1;)<br>><br>> we are using snort 2.8.5.1 under win XP and the rawbytes didnt help here<br>> either...<br>><br>><br>><br>><br>> On Thu, Nov 19, 2009 at 2:01 PM, <a href="mailto:evilghost@...3397...">evilghost@...180.....3397...</a><br>
> <<a href="mailto:evilghost@...3397...">evilghost@...3397...</a>> wrote:<br>>><br>>> What version of Snort are you using?  I have had issues with content<br>>> matching working correctly in the 2.8 branch (as have others at Emerging<br>
>> Threats), I was able to get content matching to work as expected by<br>>> using the rawbytes option.  See section 3.5.3 in the Snort manual.<br>>><br>>> content:"ebay"; nocase; rawbytes;<br>
>><br>>> -evilghost<br>>><br>>><br>>> mary andrews wrote:<br>>> > Hello there, we have a testing.rules file with the following 3 lines<br>>> ><br>>> > #testing.rules<br>
>> > alert icmp any any -> any any (msg:"$TESTING rule$"; sid:1000001;)<br>>> > alert tcp any any -> any any (msg:"test eBay rule"; flow:established;<br>>> > content:"ebay"; nocase; sid:1000002;rev:1;)<br>
>> > we put the rule as generic as we can, of course ebay is just an example.<br>>> ><br>>> > ping any site produces the alert $TESTING rule$ on the dos screen snort<br>>> > has<br>>> > been started.<br>
>> ><br>>> > But using Internet Explorer to go to ebay, does not produce any alert.<br>>> > Our question is, what part of a rule triggers web visiting activity?<br>>> ><br>>> > thanks,<br>
>> > m<br>>> ><br>>> ><br>>> > ------------------------------------------------------------------------<br>>> ><br>>> ><br>>> > ------------------------------------------------------------------------------<br>
>> > Let Crystal Reports handle the reporting - Free Crystal Reports 2008<br>>> > 30-Day<br>>> > trial. Simplify your report design, integration and deployment - and<br>>> > focus on<br>
>> > what you do best, core application coding. Discover what's new with<br>>> > Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>>> > ------------------------------------------------------------------------<br>
>> ><br>>> > _______________________________________________<br>>> > Snort-sigs mailing list<br>>> > <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br>
>> > <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>>> ><br>><br>><br>> ------------------------------------------------------------------------------<br>
> Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>> trial. Simplify your report design, integration and deployment - and focus<br>> on<br>> what you do best, core application coding. Discover what's new with<br>
> Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>> _______________________________________________<br>> Snort-sigs mailing list<br>> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...1744...net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>><br>><br></div></div></blockquote></div><br>