<html><body bgcolor="#FFFFFF"><div>These are the same rules, but the tor.rules are distributed in a different tar ball. Could you have the remains of a previous download in the directory? </div><div><br></div><div>Just checked and only the emerging-tor.rules is in the open-nogpl tarball.</div><div><br></div><div>Can you see if that might be the case? Thanks!<br><br><div><br></div><div>----------------------------------------------------</div><div>Matthew Jonkman</div><div>Emerging Threats</div><div>Open Information Security Foundation (OISF)</div><div>Phone 765-429-0398</div><div>Fax 312-264-0205</div><div><a href="http://www.emergingthreats.net">http://www.emergingthreats.net</a></div><div><a href="http://www.openinfosecfoundation.org">http://www.openinfosecfoundation.org</a></div><div>----------------------------------------------------</div></div><div><br>On Dec 29, 2010, at 10:23 AM, "Lay, James" <<a href="mailto:james.lay@...3513...">james.lay@...3513...</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div><div class="WordSection1"><p class="MsoNormal">So…I’m using the rulesets from what I thought was the repo:<o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal"><a href="http://rules.emergingthreats.net/open-nogpl/snort-2.9.0/emerging.rules.tar.gz"><a href="http://rules.emergingthreats.net/open-nogpl/snort-2.9.0/emerging.rules.tar.gz">http://rules.emergingthreats.net/open-nogpl/snort-2.9.0/emerging.rules.tar.gz</a></a><o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal">Was this the right one to not get duplicate sids?  Just snagged this and still seeing dup sids:<o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal">grep 2520144 *<o:p></o:p></p><p class="MsoNormal">emerging-tor.rules:alert tcp [87.119.103.37,87.123.26.143,87.143.251.238,87.147.11.67,87.157.91.50,87.171.103.26,87.194.125.162,87.21.39.166,87.220.58.85,87.227.83.103] any -> $HOME_NET any (msg:"ET TOR Known Tor Exit Node TCP Traffic (73)"; flags:S; reference:url,<a href="http://doc.emergingthreats.net/bin/view/Main/TorRules">doc.emergingthreats.net/bin/view/Main/TorRules</a>; threshold: type limit, track by_src, seconds 60, count 1; classtype:misc-attack; sid:2520144; rev:704;)<o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal">tor.rules:alert tcp [87.119.103.37,87.123.26.143,87.143.251.238,87.147.11.67,87.157.91.50,87.171.103.26,87.194.125.162,87.21.39.166,87.220.58.85,87.227.83.103] any -> $HOME_NET any (msg:"ET TOR Known Tor Exit Node TCP Traffic (73)"; flags:S; reference:url,<a href="http://doc.emergingthreats.net/bin/view/Main/TorRules">doc.emergingthreats.net/bin/view/Main/TorRules</a>; threshold: type limit, track by_src, seconds 60, count 1; classtype:misc-attack; sid:2520144; rev:704;)<o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal">Did something change while I slept?  Thanks.<o:p></o:p></p><p class="MsoNormal"><o:p> </o:p></p><p class="MsoNormal">James Lay<o:p></o:p></p><p class="MsoNormal">IT Security Analyst<o:p></o:p></p><p class="MsoNormal"><b><i><span style="color:red">WinCo Foods<o:p></o:p></span></i></b></p><p class="MsoNormal"><span style="font-size:8.0pt">208-672-2014 Office<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:8.0pt">208-559-1855 Cell<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:8.0pt">650 N Armstrong Pl.<o:p></o:p></span></p><p class="MsoNormal"><span style="font-size:8.0pt">Boise, Idaho 83704<o:p></o:p></span></p><p class="MsoNormal"><o:p> </o:p></p></div></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Emerging-sigs mailing list</span><br><span><a href="mailto:Emerging-sigs@...3335...">Emerging-sigs@...3335...</a></span><br><span><a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a></span><br><span></span><br><span>Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com"><a href="http://www.emergingthreatspro.com">http://www.emergingthreatspro.com</a></a></span><br><span>The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!</span></div></blockquote></body></html>