<div dir="ltr"><div><div><div>Hi Gurgen,<br><br></div>You might use the following strategy for detecting a repeating "POST"<br><br></div>content:"POST "; depth:5; content:"POST "; distance:0; <br><br></div>This will enter on the raw buffer and look for an additional "POST " following the first content match. <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 8:03 PM, Gurgen Hakobyan <span dir="ltr"><<a href="mailto:hakobyan@...3886......" target="_blank">hakobyan@...3751...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I need to setup a rule that would detect a repetition of headers within a HTTP session.<br>
<br>
Only initial headers have to be examined (not the content), so we are not going to process huge amounts of data. I want to detect anything that sends two of same headers (say 2 POST requess, etc.). The repetitions are not necessarily successive..<br>
<br>
How is that possible using Snort rules syntax? If I use command like<br>
<br>
alert tcp any any -> any any (msg:”Secret traffic"; pcre:”/USERNAME|PASSWORD/i"; sid:666; rev:1;)<br>
<br>
it will detect the pattern once, but how do I repeat it?<br>
<br>
Thanks,<br>
Gurgen<br>
------------------------------------------------------------------------------<br>
Transform Data into Opportunity.<br>
Accelerate data analysis in your applications with<br>
Intel Data Analytics Acceleration Library.<br>
Click to learn more.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=278785351&iu=/4140" rel="noreferrer" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=278785351&iu=/4140</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" rel="noreferrer" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" rel="noreferrer" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!</blockquote></div><br></div>