<meta http-equiv="content-type" content="text/html; charset=utf-8">True, but some of us are a bit gun-shy around colons in Snort rules - it only takes screwing up a release once before you make a habit of escaping colons wherever they may be found. :-P<br>
<br><div class="gmail_quote">2010/4/8 <a href="mailto:evilghost@...3406......">evilghost@...3397...</a> <span dir="ltr"><<a href="mailto:evilghost@...3397...">evilghost@...3397...</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Colon doesn't need to be escaped in a PCRE, even in a Snort PCRE. It<br>
does in a content match. :)<br>
<br>
-evilghost<br>
<div class="im"><br>
Matt Olney wrote:<br>
> Actually (don't ask me why)...they both work:<br>
><br>
> alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"PCRE with<br>
> colon"; pcre:"/User-Agent:/H"; classtype: attempted-admin; sid: 33333;)<br>
> alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"PCRE with<br>
> colon escaped"; pcre:"/User-Agent\:/H"; classtype: attempted-admin;<br>
> sid: 33334;)<br>
><br>
> Alerts:<br>
> 1:33333:0 PCRE with colon Alerts: 2<br>
> 1:33334:0 PCRE with colon escaped Alerts: 2<br>
><br>
> [HTTP_HEADER BUFFER DATA (0x8ac90a0)]:<br>
> 55 73 65 72 2d 41 67 65 6e 74 3a 20 43 42 4e 65 User-Agent: CBNe<br>
> 74 44 61 74 61 53 65 74 0d 0a 48 6f 73 74 3a 20 tDataSet..Host:<br>
> 73 65 67 6d 65 6e 74 2e 70 77 30 38 2e 69 63 69 segment.pw08.ici<br>
> 62 61 2e 63 6f 6d 0d 0a 43 61 63 68 65 2d 43 6f ba.com..Cache-Co<br>
> 6e 74 72 6f 6c 3a 20 6d 61 78 2d 61 67 65 3d 32 ntrol: max-age=2<br>
> 35 39 32 30 30 0d 0a 56 69 61 3a 20 31 2e 30 20 59200..Via: 1.0<br>
> 50 52 4f 58 59 0d 0a 43 6f 6e 6e 65 63 74 69 6f PROXY..Connectio<br>
> 6e 3a 20 63 6c 6f 73 65 0d 0a 0d n: close...<br>
><br>
> Matt<br>
> (Who has been stupid busy, but is still listening)<br>
><br>
> 2010/4/8 L0rd Ch0de1m0rt <<a href="mailto:l0rdch0de1m0rt@...3422.....">l0rdch0de1m0rt@...2420...</a><br>
</div>> <mailto:<a href="mailto:l0rdch0de1m0rt@...2420...">l0rdch0de1m0rt@...2420...</a>>><br>
<div class="im">><br>
>     I disagree. Unless snort is not PCRE compatible (which it seems they<br>
>     should be based on the acronym), you don't have to escape the colon in<br>
>     this context for a pcre check.<br>
><br>
>     Cheers,<br>
><br>
>     -L0rd Ch0de1m0rt<br>
><br>
>     On Thu, Apr 8, 2010 at 7:46 PM, 蹫 <<a href="mailto:kimms@...3282...">kimms@...3282...</a><br>
</div><div class="im">>     <mailto:<a href="mailto:kimms@...3282...">kimms@...3282...</a>>> wrote:<br>
>     > Missed escape : \<br>
>     ><br>
>     > You have to write this<br>
>     ><br>
>     > pcre:"/^Content-Length\:\s*[0-9]{7,}$/i";<br>
>     > or<br>
>     > pcre:"/^Content-Length\x3a\s*[0-9]{7,}$/i";<br>
>     ><br>
>     > -----Original Message-----<br>
>     > From: <a href="mailto:evilghost@...3397...">evilghost@...3397...</a> <mailto:<a href="mailto:evilghost@...3397...">evilghost@...3397...</a>><br>
</div><div class="im">>     [mailto:<a href="mailto:evilghost@...3397...">evilghost@...3397...</a> <mailto:<a href="mailto:evilghost@...3397...">evilghost@...3397...</a>>]<br>
>     > Sent: Friday, April 09, 2010 2:01 AM<br>
>     > To: JOSH RIVEL, BLOOMBERG/ 731 LEXIN<br>
>     > Cc: <a href="mailto:SNORT-SIGS@...3473...">SNORT-SIGS@...3473...</a><br>
</div><div class="im">>     <mailto:<a href="mailto:SNORT-SIGS@...3473...">SNORT-SIGS@...3473...</a>><br>
>     > Subject: Re: [Snort-sigs] Looking for HTTP POST's over 1mb in size<br>
>     ><br>
>     > Glad to help Josh, also drop the '/s', I meant to write the PCRE as:<br>
>     ><br>
>     > pcre:"/^Content-Length:\s*[0-9]{7,}$/i";<br>
>     ><br>
>     ><br>
>     > -evilghost<br>
>     ><br>
>     > JOSH RIVEL, BLOOMBERG/ 731 LEXIN wrote:<br>
>     >> evilghost-<br>
>     >> Yeah my PCRE skills are pretty weak. I'll try your change and<br>
>     let you know how it works out (I also change the source from "any"<br>
>     to $HOME_NET as well)<br>
>     >> Thanks!!<br>
>     >> Josh<br>
>     >><br>
>     >> ----- Original Message -----<br>
>     >> From: Evilghost@...3475... <<a href="mailto:evilghost@...3397...">evilghost@...3397...</a><br>
</div><div class="im">>     <mailto:<a href="mailto:evilghost@...3397...">evilghost@...3397...</a>>><br>
>     >> To: JOSH RIVEL (BLOOMBERG/ 731 LEXIN)<br>
>     >> Cc: <a href="mailto:SNORT-SIGS@...3473...">SNORT-SIGS@...3473...</a><br>
</div><div><div></div><div class="h5">>     <mailto:<a href="mailto:SNORT-SIGS@...3473...">SNORT-SIGS@...3473...</a>><br>
>     >> At: 4/08 12:49:17<br>
>     >><br>
>     >> Hey Josh, isn't the root issue here 10[1-9] in the PCRE OR<br>
>     match since<br>
>     >> it'll match on on 101, 102, 103, etc?<br>
>     >><br>
>     >> What about:<br>
>     >><br>
>     >> pcre:"/^Content-Length:\s*[0-9]{7,}$/si";<br>
>     >><br>
>     >> It'll still match against 1,000,000 bytes which is close enough<br>
>     to 1Mb for me. Also, note sure why you need the other PCRE flags.<br>
>     >><br>
>     >> -evilghost<br>
>     >><br>
>     >><br>
>     >><br>
>     >><br>
>     >> JOSH RIVEL, BLOOMBERG/ 731 LEXIN wrote:<br>
>     >><br>
>     >>> So I wrote a signature to detect HTTP POST's over 1mb in size,<br>
>     but I think that my pcre logic is flawed. Can someone take a look<br>
>     and let me know if this is OK? (It does work, but will trigger on<br>
>     file sizes < 1mb based on the Content-Length: header)<br>
>     >>> (We have some stuff in there to ignore posts to certain sites<br>
>     due to too many false positives)<br>
>     >>> The rule is:<br>
>     >>> alert tcp any !20 -> $EXTERNAL_NET !25<br>
>     (flow:established,to_server; priority:1; content:"POST"; nocase;<br>
>     http_method; content:!"Shockwave"; nocase; http_header;<br>
>     content:!"x-flash-version"; nocase; content:!"Host\: <a href="http://live.com" target="_blank">live.com</a><br>
</div></div>>     <<a href="http://live.com" target="_blank">http://live.com</a>>"; nocase; http_header; content:!"Host\:<br>
>     <a href="http://mail.google.com" target="_blank">mail.google.com</a> <<a href="http://mail.google.com" target="_blank">http://mail.google.com</a>>"; nocase; http_header;<br>
>     content:!"Host\: <a href="http://mail.yahoo.com" target="_blank">mail.yahoo.com</a> <<a href="http://mail.yahoo.com" target="_blank">http://mail.yahoo.com</a>>"; nocase;<br>
>     content:!"Host\: <a href="http://webmail.aol.com" target="_blank">webmail.aol.com</a> <<a href="http://webmail.aol.com" target="_blank">http://webmail.aol.com</a>>";<br>
<div class="im">>     nocase; http_header; content:!"Host\: <a href="http://webmail.juno.com" target="_blank">webmail.juno.com</a><br>
</div>>     <<a href="http://webmail.juno.com" target="_blank">http://webmail.juno.com</a>>"; nocase; http_header; content:!"Host\:<br>
>     <a href="http://webmailb.juno.com" target="_blank">webmailb.juno.com</a> <<a href="http://webmailb.juno.com" target="_blank">http://webmailb.juno.com</a>>"; nocase;<br>
<div class="im">>     http_header; content:"multipart/"; nocase;<br>
>     content:"Content-Length\:"; nocase; http_header;<br>
>     pcre:"/^Content-Length:\s*([1-9][0-9]{6,}|10[1-9])/smix";<br>
</div>>     pcre:!"/^Host:\s.*[\.<a href="http://live.com" target="_blank">live.com</a> <<a href="http://live.com" target="_blank">http://live.com</a>>]$/smi";<br>
<div class="im">>     msg:"http-post-pcre-jr"; classtype:policy-violation; sid:1000060;<br>
>     gid:1; rev:4; )<br>
>     >>><br>
>     ------------------------------------------------------------------------------<br>
>     >>> Download Intel&#174; Parallel Studio Eval<br>
>     >>> Try the new software tools for yourself. Speed compiling, find<br>
>     bugs<br>
>     >>> proactively, and fine-tune applications for parallel performance.<br>
>     >>> See why Intel Parallel Studio got high marks during beta.<br>
>     >>> <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
>     >>> _______________________________________________<br>
>     >>> Snort-sigs mailing list<br>
>     >>> <a href="mailto:Snort-sigs@...2601...rge.net">Snort-sigs@lists.sourceforge.net</a><br>
</div>>     <mailto:<a href="mailto:Snort-sigs@...551...ceforge.net">Snort-sigs@lists.sourceforge.net</a>><br>
<div class="im">>     >>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>     >>><br>
>     >>><br>
>     >> ><br>
>     ><br>
>     ><br>
>     ------------------------------------------------------------------------------<br>
>     > Download Intel&#174; Parallel Studio Eval<br>
>     > Try the new software tools for yourself. Speed compiling, find bugs<br>
>     > proactively, and fine-tune applications for parallel performance.<br>
>     > See why Intel Parallel Studio got high marks during beta.<br>
>     > <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
>     > _______________________________________________<br>
>     > Snort-sigs mailing list<br>
>     > <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br>
</div>>     <mailto:<a href="mailto:Snort-sigs@...551...ceforge.net">Snort-sigs@lists.sourceforge.net</a>><br>
<div class="im">>     > <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>     ><br>
>     ><br>
>     ------------------------------------------------------------------------------<br>
>     > Download Intel&#174; Parallel Studio Eval<br>
>     > Try the new software tools for yourself. Speed compiling, find bugs<br>
>     > proactively, and fine-tune applications for parallel performance.<br>
>     > See why Intel Parallel Studio got high marks during beta.<br>
>     > <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
>     > _______________________________________________<br>
>     > Snort-sigs mailing list<br>
>     > <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br>
</div>>     <mailto:<a href="mailto:Snort-sigs@...551...ceforge.net">Snort-sigs@lists.sourceforge.net</a>><br>
<div class="im">>     > <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
>     ><br>
><br>
>     ------------------------------------------------------------------------------<br>
>     Download Intel&#174; Parallel Studio Eval<br>
>     Try the new software tools for yourself. Speed compiling, find bugs<br>
>     proactively, and fine-tune applications for parallel performance.<br>
>     See why Intel Parallel Studio got high marks during beta.<br>
>     <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
>     _______________________________________________<br>
>     Snort-sigs mailing list<br>
>     <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@lists.sourceforge.net</a><br>
</div>>     <mailto:<a href="mailto:Snort-sigs@...551...ceforge.net">Snort-sigs@lists.sourceforge.net</a>><br>
<div><div></div><div class="h5">>     <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
><br>
><br>
> ------------------------------------------------------------------------<br>
><br>
> ------------------------------------------------------------------------------<br>
> Download Intel&#174; Parallel Studio Eval<br>
> Try the new software tools for yourself. Speed compiling, find bugs<br>
> proactively, and fine-tune applications for parallel performance.<br>
> See why Intel Parallel Studio got high marks during beta.<br>
> <a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
> ------------------------------------------------------------------------<br>
><br>
> _______________________________________________<br>
> Snort-sigs mailing list<br>
> <a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...3134...ourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
><br>
<br>
------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...435...">alex.kirk@...435...</a><br>