<html><body><div style="color:#000; background-color:#fff; font-family:verdana, helvetica, sans-serif;font-size:10pt"><div><span>Thanks Waldo Kitty!</span></div><div style="color: rgb(0, 0, 0); font-size: 13px; font-family: verdana, helvetica, sans-serif; background-color: transparent; font-style: normal;"><span><br></span></div><div style="color: rgb(0, 0, 0); font-size: 13px; font-family: verdana, helvetica, sans-serif; background-color: transparent; font-style: normal;"><span>So usually what you guys do when you get this sig triggered? </span></div><div><br></div>  <div style="font-family: verdana, helvetica, sans-serif; font-size: 10pt;"> <div style="font-family: 'times new roman', 'new york', times, serif; font-size: 12pt;"> <div dir="ltr"> <font size="2" face="Arial"> <hr size="1">  <b><span style="font-weight:bold;">From:</span></b> waldo kitty <wkitty42@...3507...><br> <b><span style="font-weight: bold;">To:</span></b>
 snort-sigs@lists.sourceforge.net <br> <b><span style="font-weight: bold;">Sent:</span></b> Friday, November 9, 2012 10:31 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [Snort-sigs] BAD-TRAFFIC dns cache poisoning attempt sid:13667<br> </font> </div> <br>
On 11/8/2012 23:31, yew chuan Ong wrote:<br>> Hi All,<br>><br>> I found this rule under so_rules.<br><br>yeah, i wish they'd use other category filenames for GID 3 rules instead of <br>using the same ones GID 1 uses... perhaps they should prefix those category <br>filenames and MSG texts with SO_ to make it more obvious? there are times that <br>GID:3 just gets lost in sight...<br><br>> I also found a thread discussing GID:3... http://seclists.org/snort/2010/q1/190<br>> Since we have no idea how the sig works (in term of detection method), how can<br>> we analyze it?<br><br>simply put, you cannot... you need the source code and that is not available to <br>the general public, AFAIK...<br><br>> Appreciate if anyone can response. Thanks!<br>><br>><br>> Regards<br>> Yew Chuan<br>> --------------------------------------------------------------------------------<br>> *From:* yew chuan Ong<br>> *To:* "<a
 ymailto="mailto:snort-sigs@lists.sourceforge.net" href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a>"<br>> *Sent:* Thursday, November 8, 2012 3:33 PM<br>> *Subject:* [Snort-sigs] BAD-TRAFFIC dns cache poisoning attempt sid:13667<br>><br>> Hi,<br>><br>> I found the description of this sig here -<br>> http://cs.uccs.edu/~cs591/ids/snort/snort2_9_0/so_rules/bad-traffic.rules.<br>><br>> But, when I downloaded the rules from Snort, I found nothing related inside<br>> bad-traffic.rules. Any ideas?<br>><br>> This sig is still enabled by default right?<br>><br>> Thanks!<br><br><br>------------------------------------------------------------------------------<br>Everyone hates slow websites. So do we.<br>Make your web apps faster with AppDynamics<br>Download AppDynamics Lite for free
 today:<br>http://p.sf.net/sfu/appdyn_d2d_nov<br>_______________________________________________<br>Snort-sigs mailing list<br><a ymailto="mailto:Snort-sigs@lists.sourceforge.net" href="mailto:Snort-sigs@...1369....net">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>http://www.snort.org<br><br><br>Please visit http://blog.snort.org for the latest news about Snort!<br><br><br> </div> </div>  </div></body></html>