Hi,<div><br></div><div>I was trying to write a signature for Snort v2.6.1.5. I have a question about using the distance/within tags after a byte_test, if that's even proper use for it.</div><div><br></div><div>Say there's a packet that looks kind of like this:</div>
<div><br></div><div>MM MM OO OO OO [....] TT XX XX AA AA ...</div><div><br></div><div>(MM -- magic number)</div><div>(OO -- offset value that points to the TTs; this offset counts from the beginning of the file)</div><div>
(XX XX -- 2 bytes that I don't care about)</div><div><br></div><div>I was trying to figure out where the pointer would be after a byte_jump, so I tried to write the following to see if it would trigger:</div><div>      <i>content:"|MM MM|"; byte_jump:3,0,relative,from_beginning,post_offset 2; content:"|AA AA|"; distance:0; within:2;</i></div>
<div>I noticed that this didn't trigger, but that it did when I removed the "within:2" part.</div><div><br></div><div><br></div><div>And then I tried the following:</div><div>      <i>content:"|MM MM|"; byte_jump:3,0,relative,from_beginning,post_offset 2; content:"|OO OO OO|"; distance:0; within:3;</i></div>
<div>and this triggered as well.</div><div><br></div><div>My first question is whether this is expected behavior (or am I doing something wrong?), and adjunctly to that, how I could get a hit on that second content tag (the |AA AA| part)...</div>
<div><br></div><div><br></div><div>Thanks,</div><div>Alice<br clear="all"><br>-- <br>---<br><a href="mailto:girl@...3471...">girl@...3471...</a><br><br>Finché c'è vita, c'è speranza.<br>As long as there is life, there is hope. <br>

</div>