<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
icmp-info.rules should be empty.  
<div class=""><br class="">
</div>
<div class="">Imp rules have transitioned to the protocol-icmp.rules category.</div>
<div class=""><br class="">
</div>
<div class=""><span style="font-size: 12px; font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Talos Group</span></div>
<div class=""><br class="">
</div>
<div class=""><br class="">
<div>
<blockquote type="cite" class="">
<div class="">On May 26, 2015, at 2:40 AM, Jamie Riden <<a href="mailto:jamie.riden@...2420..." class="">jamie.riden@...2420...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">There should be some content that looks like this - not this itself, I<br class="">
stole it from fwsnort - but you get the general idea.<br class="">
<br class="">
#alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP IRDP router<br class="">
advertisement"; itype:9; reference:arachnids,173;<br class="">
reference:bugtraq,578; reference:cve,1999-0875;<br class="">
classtype:misc-activity; sid:363; rev:7;)<br class="">
<br class="">
Obviously, uncommenting it is left as an (easy) excercise for the<br class="">
reader. If 2973 seems to be empty, try grabbing an older version.<br class="">
<br class="">
cheers,<br class="">
Jamie<br class="">
<br class="">
On 26 May 2015 at 06:16, Diego Batigoal <<a href="mailto:diegobatigoal@...3718..." class="">diegobatigoal@...3718...</a>> wrote:<br class="">
<blockquote type="cite" class="">Hi,<br class="">
Just got stuck in the setup of the pdf CEH Lab Manual Page 860-861.<br class="">
I have downloaded the Snort 2973 and also downloaded the<br class="">
snortrules-snapshot-2973.tar rules but the rules all seem to be empty<br class="">
containing just the copyright information.<br class="">
<br class="">
I have configured snort but I need to enable detection rules in snort rule<br class="">
file. I am walking through the CEH lab and I am stuck at enabling ICMP rule.<br class="">
I have the file icmp-info.rules in C:\Snort\rules. I only see this when I<br class="">
open the file:<br class="">
<br class="">
# Copyright 2001-2013 Sourcefire, Inc. All Rights Reserved.<br class="">
#<br class="">
# This file contains (i) proprietary rules that were created, tested and<br class="">
certified by<br class="">
# Sourcefire, Inc. (the "VRT Certified Rules") that are distributed under<br class="">
the    VRT<br class="">
# Certified Rules License Agreement (v 2.0), and (ii) rules that were<br class="">
created by<br class="">
# Sourcefire and other third parties (the "GPL Rules") that are distributed<br class="">
under the<br class="">
# GNU General Public License (GPL), v2.<br class="">
#<br class="">
# The VRT Certified Rules are owned by Sourcefire, Inc. The GPL Rules were<br class="">
created<br class="">
# by Sourcefire and other third parties. The GPL Rules created by Sourcefire<br class="">
are<br class="">
# owned by Sourcefire, Inc., and the GPL Rules not created by Sourcefire are<br class="">
owned by<br class="">
# their respective creators. Please see<br class="">
<a href="http://www.snort.org/snort/snort-team/" class="">http://www.snort.org/snort/snort-team/</a> for a<br class="">
# list of third party owners and their respective copyrights.<br class="">
#<br class="">
# In order to determine what rules are VRT Certified Rules or GPL Rules,<br class="">
please refer<br class="">
# to the VRT Certified Rules License Agreement (v2.0).<br class="">
#<br class="">
#-----------------<br class="">
# ICMP-INFO RULES<br class="">
#-----------------<br class="">
<br class="">
I am supposed to uncomment an alert in the file which should contain lots of<br class="">
alerts commented out. but mine doesn't seem to have that content.<br class="">
What can I do in this phase ?<br class="">
<br class="">
Regards,<br class="">
Diego<br class="">
<br class="">
<br class="">
------------------------------------------------------------------------------<br class="">
One dashboard for servers and applications across Physical-Virtual-Cloud<br class="">
Widest out-of-the-box monitoring support with 50+ applications<br class="">
Performance metrics, stats and reports that give you Actionable Insights<br class="">
Deep dive visibility with transaction tracing using APM Insight.<br class="">
<a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y" class="">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</a><br class="">
_______________________________________________<br class="">
Snort-sigs mailing list<br class="">
Snort-sigs@lists.sourceforge.net<br class="">
https://lists.sourceforge.net/lists/listinfo/snort-sigs<br class="">
http://www.snort.org<br class="">
<br class="">
<br class="">
Please visit http://blog.snort.org for the latest news about Snort!<br class="">
</blockquote>
<br class="">
<br class="">
<br class="">
-- <br class="">
Jamie Riden / <a href="mailto:jamie@...3509..." class="">jamie@...4036.....</a> /
<a href="mailto:jamie.riden@...2420..." class="">jamie.riden@...2420...</a><br class="">
<a href="http://uk.linkedin.com/in/jamieriden" class="">http://uk.linkedin.com/in/jamieriden</a><br class="">
<br class="">
------------------------------------------------------------------------------<br class="">
One dashboard for servers and applications across Physical-Virtual-Cloud <br class="">
Widest out-of-the-box monitoring support with 50+ applications<br class="">
Performance metrics, stats and reports that give you Actionable Insights<br class="">
Deep dive visibility with transaction tracing using APM Insight.<br class="">
http://ad.doubleclick.net/ddm/clk/290420510;117567292;y<br class="">
_______________________________________________<br class="">
Snort-sigs mailing list<br class="">
Snort-sigs@lists.sourceforge.net<br class="">
https://lists.sourceforge.net/lists/listinfo/snort-sigs<br class="">
http://www.snort.org<br class="">
<br class="">
<br class="">
Please visit http://blog.snort.org for the latest news about Snort!<br class="">
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>