Hi Carmen,<div><br></div><div>  do you have:</div><div><br></div><div>1. pcaps</div><div>2. a rule to examine</div><div><br></div><div>those are the first two things to look at to see if anything is amiss.</div><div><br></div>
<div>thanks,</div><div>Alex McDonnell</div><div><br><div class="gmail_quote">On Mon, Feb 11, 2013 at 10:42 AM, Gaißer, Carmen <span dir="ltr"><<a href="mailto:carmen.gaisser@...3768..." target="_blank">carmen.gaisser@...3768...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div lang="DE" link="blue" vlink="purple"><div><p class="MsoNormal">Hi,<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">for the purpose of botnet detection, I generated some sample traffic by using signatures from the snort malware-cnc.rules set.<u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">
Currently, I am facing the problem that snort is not able to detect these signatures. The problem occurs with IPv4 and IPv6 traffic. <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Some details:<u></u><u></u></p>
<p class="MsoNormal">I generated http requests by using snort signatures from the malware-cnc.rule set as part of  the request uri. Therefore, I used only signatures which apply to http traffic and only those that use one content keyword with the http_uri identifier.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">I already tested my snort configuration which should be ok.  I have set the HOME_NET and EXTERNAL_NET explicitly to the addresses of the client and server. The malware-cnc.rule is loaded correctly. I confirmed this by adding a custom rule which alerts any tcp connection. This works correctly. But no alerts on the content of the http requests. Regarding the IPv6 sample traffic, only http responses are analyzed which is odd.<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">Does anyone have an idea why snort is not able to detect the signatures in the sample traffic?<u></u><u></u></p><p class="MsoNormal"> Or why only IPv6 http responses are analyzed?<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">    <u></u><u></u></p><p class="MsoNormal"><u></u> <u></u></p><p class="MsoNormal">
<u></u> <u></u></p></div></div><br>------------------------------------------------------------------------------<br>
Free Next-Gen Firewall Hardware Offer<br>
Buy your Sophos next-gen firewall before the end March 2013<br>
and get the hardware for free! Learn more.<br>
<a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>