On Wed, Jan 27, 2010 at 11:27 AM, Guise McAllaster <span dir="ltr"><<a href="mailto:guise.mcallaster@...2420...">guise.mcallaster@...2420...</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Thanks for the response Matt.  Often I wonder if there is any point in<br>
running GID:3 rules in high volumes, non-inline snorts.  I get many<br>
many false positive and when I try to investigate, I cannot not know<br>
what the rule is and so cannot be sure about accuracy, especially if<br>
details about the vulnerability are not clear.  I try to explain to my<br>
boss but he get mad. :(  If a snorts is inline, OK, GID:3 could be<br>
usefule to block.  But with such high volume and poorly written Web<br>
2.0 applications out there, false positives are inevitable and with<br>
GID:3, it makes it very tough for the rules to be anything more than a<br>
waste of memory/CPUs.<br>
<br>
Is there a good way to disable GID:3 rules globally.  If not, could a<br>
feature request be put in to do this, maybe have a snort.conf setting?<br>
<br></blockquote><div>Don't load the stub rules in snort.conf</div><div><br></div><div>J</div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Thanks again ... and sorry if my European cultural communication style<br>
came across as hostile.  I thought Americans were tough cowboys but I<br>
see a lot of crying. ;)  Just trying to give back to the community. :)<br>
 <----- (smiley == !hostile)<br>
<font color="#888888"><br>
Guise<br>
</font><div><div></div><div class="h5"><br>
On 1/26/10, Matt Olney <<a href="mailto:molney@...435...">molney@...3451...5...</a>> wrote:<br>
> OK...<br>
><br>
> It is unfortunate that we are required to put out some of our SO rules<br>
> in a compiled format.  This is particularly true in the case of<br>
> Microsoft rules because they are both very high profile and, in many<br>
> cases, very challenging detection.  However the fact is that as<br>
> partners with Microsoft in the MAPP program<br>
> (<a href="http://www.microsoft.com/security/msrc/collaboration/mapppartners.aspx" target="_blank">http://www.microsoft.com/security/msrc/collaboration/mapppartners.aspx</a>),<br>
> we are limited in the way we can distribute detection.  While this may<br>
> be frustrating and not the way we typically do things, the advantage<br>
> to our customers of getting advanced technical information from<br>
> Microsoft easily outweighs the drawbacks of participation.<br>
><br>
> So what do you do?  You do exactly as Guise has done and point out<br>
> rules that are causing particularly performance or false positive<br>
> issues and we'll look at them (you might choose a delivery that is<br>
> less hostile, but provided you keep it relatively civil, we'll deal).<br>
> We get reports from several different sources, both in house and from<br>
> partners, but it is always valuable to get this information from the<br>
> open source community as well.<br>
><br>
> On our end we'll open bugs on these three SIDs and have an analyst<br>
> review them.  We will make what humble efforts we can to figure out<br>
> what the performance issue there is and address it.<br>
><br>
> I'll keep you posted...and on that note, I'll send another email.<br>
><br>
> Matt<br>
><br>
> On Tue, Jan 26, 2010 at 11:55 AM, Keith Butler <<a href="mailto:snort@...3448...">snort@...3448...</a>> wrote:<br>
>> The suggestions are enlightening and appreciated, the self-aggrandizing is<br>
>> getting old.<br>
>><br>
>><br>
>><br>
>> ----- Original Message -----<br>
>> From: "Guise McAllaster" <<a href="mailto:guise.mcallaster@...2420...">guise.mcallaster@...2420...</a>><br>
>> Sent: Tue, January 26, 2010 10:54<br>
>> Subject:[Snort-sigs] Being killed by poor IE rules...<br>
>><br>
>><br>
>> Hello.  The rules with SID 14645, 14643, 11966 are hammering my web<br>
>> snorts.  The first two are GID:3 so I cannot be of help in making them<br>
>> more good :( but the last one is this:<br>
>><br>
>><br>
>><br>
>> web-client.rules:alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any<br>
>> (msg:"WEB-CLIENT Microsoft Internet Explorer CSS tag memory corruption<br>
>> attempt"; flow:to_client,established;<br>
>> pcre:"/\x3c[^\x3e]*style=[^\x3e]*csstext\x3a.*\x3e/i";<br>
>> reference:bugtraq,24423; reference:cve,2007-1750;<br>
>> reference:url,<a href="http://www.microsoft.com/technet/security/Bulletin/MS07-033.mspx" target="_blank">www.microsoft.com/technet/security/Bulletin/MS07-033.mspx</a>;<br>
>> classtype:attempted-user; sid:11966; rev:1;<br>
>><br>
>><br>
>><br>
>> Clearly the naked pcre is big no-no.  Here are some stats from<br>
>> performance (notice how terrible it is):<br>
>><br>
>><br>
>><br>
>> SID         GID     Checks   Matches    Alerts           Microsecs<br>
>>  Avg/Check<br>
>>  Avg/Match Avg/Nonmatch   Disabled<br>
>><br>
>> ===         ===     ======   =======    ======               =====<br>
>>  =========<br>
>>  ========= ============   ========<br>
>><br>
>> 14645            3     158641         0         0            11579605<br>
>> 73.0        0.0         73.0          0<br>
>><br>
>> 14643           3     158641         0         0             5870863<br>
>> 37.0        0.0         37.0          0<br>
>><br>
>> 11966            1    5129886         0         0             5847694<br>
>> 1.1        0.0          1.1          0<br>
>><br>
>><br>
>><br>
>> SID         GID     Checks   Matches    Alerts           Microsecs<br>
>>  Avg/Check<br>
>>  Avg/Match Avg/Nonmatch   Disabled<br>
>><br>
>> ===         ===     ======   =======    ======               =====<br>
>>  =========<br>
>>  ========= ============   ========<br>
>><br>
>> 14645            3      31623         0         0             3878806<br>
>> 122.7        0.0        122.7          0<br>
>><br>
>> 11966     1    1506965         0         0             1656476<br>
>> 1.1        0.0          1.1          0<br>
>><br>
>> 14643     3      31623         0         0             1443499<br>
>> 45.6        0.0         45.6          0<br>
>><br>
>><br>
>><br>
>> I am starting to wonder about the Vrt snort rules ... raw pcre with no<br>
>> content? ... and these GID:3 rules? ... makes me think what they are<br>
>> hiding ... it is tough to get good community feedback when the rules<br>
>> are hidden/compiled.  When I see such poor performing rules it shows<br>
>> me a need for a person go go thru old rules and make them more good.<br>
>> And I am the perfect person for this job (if I can work from France<br>
>> but I don't think that would be problem).  I already feel like<br>
>> SourceFire should be paying me, with all my good suggestion ;)<br>
>><br>
>><br>
>><br>
>> Guise<br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> The Planet: dedicated and managed hosting, cloud storage, colocation<br>
>> Stay online with enterprise data centers and the best network in the<br>
>> business<br>
>> Choose flexible plans and management services without long-term contracts<br>
>> Personal 24x7 support from experience hosting pros just a phone call away.<br>
>> <a href="http://p.sf.net/sfu/theplanet-com" target="_blank">http://p.sf.net/sfu/theplanet-com</a><br>
>> _______________________________________________<br>
>> Snort-sigs mailing list<br>
>> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...2926...ts.sourceforge.net</a><br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>><br>
>><br>
>> ----- End of original message -----<br>
>><br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> The Planet: dedicated and managed hosting, cloud storage, colocation<br>
>> Stay online with enterprise data centers and the best network in the<br>
>> business<br>
>> Choose flexible plans and management services without long-term contracts<br>
>> Personal 24x7 support from experience hosting pros just a phone call away.<br>
>> <a href="http://p.sf.net/sfu/theplanet-com" target="_blank">http://p.sf.net/sfu/theplanet-com</a><br>
>> _______________________________________________<br>
>> Snort-sigs mailing list<br>
>> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...2926...ts.sourceforge.net</a><br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>><br>
><br>
<br>
------------------------------------------------------------------------------<br>
The Planet: dedicated and managed hosting, cloud storage, colocation<br>
Stay online with enterprise data centers and the best network in the business<br>
Choose flexible plans and management services without long-term contracts<br>
Personal 24x7 support from experience hosting pros just a phone call away.<br>
<a href="http://p.sf.net/sfu/theplanet-com" target="_blank">http://p.sf.net/sfu/theplanet-com</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Joel Esler <br>