<a href="http://manual.snort.org/">http://manual.snort.org/</a>  should help you lots<br><br><div class="gmail_quote">On Fri, Feb 15, 2013 at 9:49 AM, alex dina <span dir="ltr"><<a href="mailto:alexander_dina@...253...144..." target="_blank">alexander_dina@...144...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-size:12pt;font-family:times new roman,new york,times,serif"><div><span>I am new to writing Snort rules, is there a manual, book or URL you can recommend to brush up on this? what about the sid:4200455 in the rule? </span><br>
</div>  <div style="font-family:times new roman,new york,times,serif;font-size:12pt"> <div style="font-family:times new roman,new york,times,serif;font-size:12pt"> <div dir="ltr"> <font face="Arial"> <div style="margin:5px 0px;padding:0px;border:1px solid rgb(204,204,204);min-height:0px;line-height:0;font-size:0px" readonly>
</div>  <b><span style="font-weight:bold">From:</span></b> waldo kitty <<a href="mailto:wkitty42@...3507..." target="_blank">wkitty42@...3776......</a>><br> <b><span style="font-weight:bold">To:</span></b> <a href="mailto:snort-sigs@lists.sourceforge.net" target="_blank">snort-sigs@...184...ists.sourceforge.net</a> <br>
 <b><span style="font-weight:bold">Sent:</span></b> Thursday,
 February 14, 2013 7:24 PM<br> <b><span style="font-weight:bold">Subject:</span></b> Re: [Snort-sigs] Fw: Snort Rules<br> </font> </div><div><div class="h5"> <br>
On 2/14/2013 17:28, alex dina wrote:<br>> Also, can you please explain what these rule are looking for in a data packet?<br>> Thank you!<br>><br>> alert tcp any any -> any any (msg:"Taidoor trojan - notify Threat Cell";<br>
> content:"GET /"; content:".asp?est="; content:"&hn="; content:"&ha=";<br>> sid:4200455; rev:1;)<br><br><br>what is there to explain? it is very simple... it is looking for content blocks <br>
of the following...<br><br>   GET /<br>   .asp?est=<br>   &hn=<br>   &ha=<br><br>all must appear in the same packet...<br><br>------------------------------------------------------------------------------<br>Free Next-Gen Firewall Hardware Offer<br>
Buy your Sophos next-gen firewall before the end March 2013 <br>and get the hardware for free! Learn more.<br><a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>_______________________________________________<br>
Snort-sigs mailing list<br><a href="mailto:Snort-sigs@...1306...et" target="_blank">Snort-sigs@lists.sourceforge.net</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br><br><br> </div>
</div></div> </div>  </div></div><br>------------------------------------------------------------------------------<br>
Free Next-Gen Firewall Hardware Offer<br>
Buy your Sophos next-gen firewall before the end March 2013<br>
and get the hardware for free! Learn more.<br>
<a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br>