<div dir="ltr">Following reply was sent only to wkitty by mistake. Re-sending it to the list just for reference.<div><br></div><div>Thanks all!</div><div><br></div><div>- Asiri<div class="gmail_extra"><br><div class="gmail_quote">
On Tue, Apr 2, 2013 at 5:21 PM, Asiri Rathnayake <span dir="ltr"><<a href="mailto:asiri.rathnayake@...2420..." target="_blank">asiri.rathnayake@...2420...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hello,<div class="gmail_extra"><br><div class="gmail_quote"><div class="im">On Tue, Apr 2, 2013 at 4:36 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...3507..." target="_blank">wkitty42@...3507...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div>On 4/2/2013 07:28, Asiri Rathnayake wrote:<br>

> May be I should've been more specific, sorry about that. I need to trigger the<br>
> rule from the outside, without depending on the client.<br>
<br>
</div>your rule requires an "established" connection so there has to be another end of<br>
the pipeline... the "server" is one end but where is the data going if there is<br>
no client involved?<br>
<br>
it may be possible, as others have pointed out, to simulate it via constructed<br>
pcaps, though... not really something i'd want to attempt unless there is a tool<br>
that can easily generate such a pcap of sufficient size... i'm not aware of one<br>
but others may be...<br>
<br>
my initial gut reaction says the /easiest/ method would be to use a scripted<br>
client and a remote server...<br></blockquote><div><br></div></div><div>I agree with you on all the points. However, I have a specific requirement of being able to trigger the rule from the outside.</div><div><br></div>
<div>This requirement came from a research we're currently working on:</div><div><br></div><div><a href="http://www.cs.bham.ac.uk/~hxt/research/rxxr.shtml" target="_blank">http://www.cs.bham.ac.uk/~hxt/research/rxxr.shtml</a></div>

<div><br></div><div>It's possible for rule writers to introduce vulnerable regular expressions into their PCRE rules which could be exploitable. We found several such rules but all of them seem to be looking at some sort of response traffic.</div>

<div><br></div><div>This is why I started investigating if it's possible to trigger those rules without involving a client. If I can figure out a way to trigger the rules that way, then I might be able to send malicious packets to a snort protected network and see how snort will handle the situation.</div>

<div><br></div><div>I didn't want to go into these details because our research is very specific. But may be I over-simplified the problem by trying to avoid talking about it.</div><div><br></div><div>
It seems what I'm trying to do is extremely uncommon, and the usual approach is to get some support from the client. Having the support from the client would work really well for testing this kind of rules, but as far as I can understand, it wouldn't help much if I'm trying to (repeatedly) trigger a rule from the outside.</div>

<div><br></div><div>Many thanks for all of your inputs!</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>- Asiri</div></font></span></div></div></div>
</blockquote></div><br></div></div></div>