<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">
|13| means “look for 13, in hex (as opposed to ascii)”  In Bitorrent, this is the Protocol Name Length field.  Which is always set to 19. (|13| in hex).  Then "protocol name" = “BitTorrent Protocol”.
<div><br>
</div>
<div><span style="font-family: 'Lucida Grande';">--</span><br>
<span style="font-family: 'Lucida Grande';"><b>Joel Esler</b></span><br>
<span style="font-family: 'Lucida Grande';">Open Source Manager</span><br>
<span style="font-family: 'Lucida Grande';">Threat Intelligence Team Lead</span><br>
<span style="font-family: 'Lucida Grande';">Vulnerability Research Team</span><br>
<div><br>
</div>
<div><br>
</div>
<div><br>
<div>
<div>
<div>On Jul 7, 2014, at 6:43 AM, Charlie Egan <<a href="mailto:chas5873@...2420...">chas5873@...2420...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<blockquote type="cite">
<div dir="ltr">Sorry to be a pain guys, could somebody get back to me regarding my last query?<br>
<br>
Cheers,<br>
<br>
Charlie<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Thu, Jul 3, 2014 at 11:39 AM, Charlie Egan <span dir="ltr">
<<a href="mailto:chas5873@...2420..." target="_blank">chas5873@...3371...20...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div>
<div>
<div>No worries Nathan!<br>
<br>
</div>
Joel, I'm curious to what the |13| means in the content section? I can't figure it out when looking at the stream content image I uploaded above from Wireshark.<br>
<br>
</div>
Your rule looks a lot better than mine, with the extra depth which I've just read up about, so thanks for that.
<br>
<br>
</div>
Out of curiousity though, would my initial rule have worked without giving out any false positives?<br>
<br>
Cheers<br>
</div>
<div class="HOEnZb">
<div class="h5">
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Wed, Jul 2, 2014 at 7:17 PM, <a href="mailto:lists@...3397..." target="_blank">
lists@...3397...</a> <span dir="ltr"><<a href="mailto:lists@...3405....." target="_blank">lists@...3397...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>On 07/02/2014 12:56 PM, Joel Esler (jesler) wrote:<br>
> I think Nathan may have missed the “BitTorrent protocol” part.<br>
<br>
</div>
Without a doubt, I completely missed it.  I profusely apologize Charlie.<br>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</blockquote>
</div>
<br>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</body>
</html>