<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Hi,<div><br></div><div>According to the documentation (<a href="http://manual.snort.org/node32.html#pcre-mod_snort" target="_blank" style="font-size: 12pt;">http://manual.snort.org/node32.html#pcre-mod_snort</a>), the PCRE modifiers P and R can be used to match content in HTTP request body in a relative manner and are similar to <font face="Courier New, sans-serif" size="2" style="font-size: 10pt;">http_client_body</font> and <font size="2" face="Courier New, sans-serif">distance:0</font>, respectively. </div><div><span style="font-size: 12pt;"><br></span></div><div><span style="font-size: 12pt;">While testing with a rule that uses both PCRE modifiers, I kept </span>receiving<span style="font-size: 12pt;"> the below error:</span></div><div><span style="font-size: 12pt;"><br></span></div><div><font face="Courier New, sans-serif" size="2" style="font-size: 10pt;">PCRE unsupported configuration : both relative & uri options specified</font></div><div><br></div><div>Not sure why the error refers to uri options, although the rule did not involve any uri content modifiers. For example, assume the following HTTP request bodies from different sessions:</div><div><br></div><div><font size="2" face="Courier New, sans-serif">ABC:doA</font></div><div><font size="2" face="Courier New, sans-serif">ABC:doB</font></div><div><font size="2" face="Courier New, sans-serif">ABC:doC</font></div><div><br></div><div>What I have been testing was something like:</div><div><br></div><div><font size="2" face="Courier New, sans-serif">content:"ABC|3A|"; http_client_body; pcre:"/(doA|doB|doC)/PR";</font> and this is where I got the error.</div><div><br></div><div>Does this mean that the PCRE "R" modifier works only with uri content matches, or is it because the "P" modifier matches the unnormalized HTTP body? This was strange to me because while testing I recall that using relative matches with <font face="Courier New, sans-serif" size="2" style="font-size: 10pt;">http_client_body</font> (ie.: not using PCRE) and <font face="Courier New, sans-serif" size="2" style="font-size: 10pt;">distance:0 </font>works just fine.</div><div><br></div><div>Thanks.</div><div>YM</div>                                        </div></body>
</html>