<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body>
<div>
<div style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">Shouldn't there be \s after the  \x3a ?<br>
<br>
Content-Length\x3a\s[0-9]{8}<br>
<br>
I would also add content modifiers<br>
</div>
</div>
<div dir="ltr">
<hr>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">From:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:jamie.riden@...2420...">Jamie Riden</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Sent:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">‎11/‎15/‎2013 3:51 PM</span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">To:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif"><a href="mailto:snort-sigs@lists.sourceforge.net">Snort Sigs</a></span><br>
<span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif; FONT-WEIGHT: bold">Subject:
</span><span style="FONT-SIZE: 11pt; FONT-FAMILY: Calibri,sans-serif">[Snort-sigs] quick sanity check please?</span><br>
<br>
</div>
<div class="BodyFragment">
<div class="PlainText">Have a client experiencing a DDoS via POST requests at the moment, and<br>
have hacked up the following, which do match the offending packets<br>
they're seeing, but I've got no "known good" traffic to check for FPs.<br>
<br>
Can anyone see anything majorly dumb about this, before it gets loaded<br>
onto the production firewall ? :)<br>
<br>
# check for packets with POST, and Referer: but not a sensible one<br>
alert tcp any any -> any 80 (msg:"POST with bad referer";<br>
content:"POST"; content:"Referer|3A| "; within:256; content:!".co.uk";<br>
within:48; sid:12009099; rev:1;)<br>
<br>
#check for POSTs without Referer<br>
alert tcp any any -> any 80 (msg:"POST with no referer";<br>
content:"POST"; content:!"Referer|3A| "; within:256; sid:12009098;<br>
rev:1;)<br>
<br>
 #check for Content-Length of >10,000,000<br>
alert tcp any any -> any 80 (msg:"POST with silly content-length";<br>
content:"POST";  pcre:"/Content-Length\x3a<br>
[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]/"; sid:12009097; rev:1;)<br>
<br>
(I know the matches could be a lot tighter than they are...)<br>
<br>
Cheers,<br>
 Jamie<br>
-- <br>
Jamie Riden / jamie@...3509... / jamie.riden@...2420...<br>
<a href="http://uk.linkedin.com/in/jamieriden">http://uk.linkedin.com/in/jamieriden</a><br>
<br>
------------------------------------------------------------------------------<br>
DreamFactory - Open Source REST & JSON Services for HTML5 & Native Apps<br>
OAuth, Users, Roles, SQL, NoSQL, BLOB Storage and External API Access<br>
Free app hosting. Or install the open source package on any LAMP server.<br>
Sign up and see examples for AngularJS, jQuery, Sencha Touch and Native!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=63469471&iu=/4140/ostg.clktrk">http://pubads.g.doubleclick.net/gampad/clk?id=63469471&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
Snort-sigs@lists.sourceforge.net<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!<br>
</div>
</div>
</body>
</html>