<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I think you need to write two rules, one going out bound and one going inbound.  Add flow to both statements, and make their msg important to the direction.<div><br></div><div>J</div><div><br><div><div>On Mar 11, 2012, at 10:55 PM, Balasubramaniam Natarajan wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">Hi Aymen,<br><br>Ignore my previous email.<br><br>A tag is used to tag both the source and destination and capture more packets of them rather than just one packet which triggered the alert.<br><br>In
 the original rule once Snort sees PRIVMSG it would have tagged x.x.x.x 
going to y.y.y.y and it would have captured all alerts up to 300 
seconds.<br>
<br>If you are interested only to see how many client systems are involved in the bot you can changed the rule to <br><br><p style="padding-right:0px;padding-left:0px;border-bottom-width:0px;padding-top:0px;text-align:left;border-style:initial;border-color:initial;margin-bottom:1em;padding-bottom:0px;border-top-width:0px;clear:both;vertical-align:baseline;line-height:18px;margin-right:0px;font-size:14px;margin-left:0px;border-right-width:0px;font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;word-wrap:break-word;margin-top:0px;border-left-width:0px;background-image:initial">



alert tcp any any -> any any (msg:"PRIVMSG from an IRC channel 
suspecious act"; content:"PRIVMSG"; offset:0; depth:7; nocase; 
dsize:<64; flow:to_server,established; 
classtype:bad-unknown; sid:2000346; rev:5;)</p>



Kindly correct me if I am wrong.<br><br>-- <br>Regards,<br>Balasubramaniam Natarajan<br><a href="http://www.etutorshop.com/moodle/" target="_blank">www.etutorshop.com/moodle/</a><br><br>
------------------------------------------------------------------------------<br>Try before you buy = See our experts in action!<br>The most comprehensive online learning library for Microsoft developers<br>is just $99.99! Visual Studio, SharePoint, SQL - plus HTML5, CSS3, MVC3,<br>Metro Style Apps, more. Free future releases when you subscribe now!<br><a href="http://p.sf.net/sfu/learndevnow-dev2_______________________________________________">http://p.sf.net/sfu/learndevnow-dev2_______________________________________________</a><br>Snort-sigs mailing list<br>Snort-sigs@lists.sourceforge.net<br>https://lists.sourceforge.net/lists/listinfo/snort-sigs<br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!</blockquote></div><br></div></body></html>