<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Hi Alex,<div><br></div><div>Thanks for the information. However, none of the rules you mentioned did actually fire, nor production neither my test environments. That's why I thought I would write a rule for it. If you guys find out that it does fire on the existing rules, then just simply ignore mine.</div><div><br></div><div>Thanks again.</div><div>YM<br><br><div><hr id="stopSpelling">Date: Tue, 1 Oct 2013 11:38:19 -0400<br>Subject: Re: [Snort-sigs] SIP scanner sig<br>From: amcdonnell@...435...<br>To: snort@...3751...<br>CC: snort-sigs@...639...forge.net<br><br><div dir="ltr"><div>Hi YM.</div><div><br></div>we have rules that cover sipvicious, if those help. SIDS 27899-27904<div><br></div><div>thanks</div><div>Alex McDonnell</div><div>VRT</div></div><div class="ecxgmail_extra"><br><br>
<div class="ecxgmail_quote">On Tue, Oct 1, 2013 at 11:17 AM, Y M <span dir="ltr"><<a href="mailto:snort@...3751..." target="_blank">snort@...180.....3751...</a>></span> wrote:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">



<div><div dir="ltr">Caught this one live today. I can't share the pcap, sorry for that.<div><br></div><div>alert udp $EXTERNAL_NET any -> $HOME_NET $SIP_PORTS (msg:"INDICATOR-SCAN Sipvicious SIP scanner detected"; flow:to_server; sip_method:options; content:"User-Agent|3A| friendly-scanner|0D0A|"; fast_pattern:only; content:"From|3A| |22|sipvicious|22|"; metadata:ruleset community; classtype:misc-activity; sid:100051; rev:1;)</div>
<div><br></div><div>The sip_method may not be necessary to generalize the signature, any ideas? I can't download the scanner and verify at the moment.</div><div><br></div><div>Thanks.</div><span class="ecxHOEnZb"><font color="#888888"><div>
YM</div>                                    </font></span></div></div>
<br>------------------------------------------------------------------------------<br>
October Webinars: Code for Performance<br>
Free Intel webinars can help you accelerate application performance.<br>
Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from<br>
the latest Intel processors and coprocessors. See abstracts and register ><br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=60134791&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=60134791&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div></div></div>                                    </div></body>
</html>