<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=windows-1252"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Texte de bulles Car";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.TextedebullesCar
        {mso-style-name:"Texte de bulles Car";
        mso-style-priority:99;
        mso-style-link:"Texte de bulles";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=FR link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hello Joshua,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><br>It seems fine.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If you want to be sure you should check by providing a packet capture to a snort instance configured with these rules.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>If don’t have any sample, you may create one using a packet crafting tool (<a href="http://resources.infosecinstitute.com/15-best-free-packet-crafting-tools/">http://resources.infosecinstitute.com/15-best-free-packet-crafting-tools/</a></span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>)</span><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Regards,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Damien<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De :</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> joshua burgess [mailto:avonyxx@...12...] <br><b>Envoyé :</b> mardi 3 janvier 2017 17:58<br><b>À :</b> FOULDE Damien<br><b>Cc :</b> snort-sigs@lists.sourceforge.net<br><b>Objet :</b> Re: 1337 Bot and TCP options detection<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><div id=divtagdefaultwrapper><p><span style='color:black'>Sorry to resurrect this older thread...<o:p></o:p></span></p><p><span style='color:black'><o:p> </o:p></span></p><p><span style='color:black'>Would this work?<o:p></o:p></span></p><p><span style='color:black'><o:p> </o:p></span></p><p class=MsoNormal><span style='color:black'>alert ip $EXTERNAL_NET any -> $HOME_NET any (msg:"1337 DDoS Tool"; content:"|01 03 03 07|"; flowbits:set,1337; reference:url,https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html; classtype:attempted-dos; sid:X; rev:1;)<o:p></o:p></span></p><p class=MsoNormal><span style='color:black'> <o:p></o:p></span></p><p class=MsoNormal><span style='color:black'>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"1337 DDoS Tool"; flowbits:isset,1337; flags:S; dsize:799<>936;  reference:url,https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html; classtype:attempted-dos; sid:X; rev:1;)<o:p></o:p></span></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif";color:black'><o:p> </o:p></span></p><p><span style='color:black'><o:p> </o:p></span></p><div id=Signature><div id=divtagdefaultwrapper><p class=MsoNormal style='background:white'><span style='font-family:"Calibri","sans-serif";color:black'>Sent from <a href="http://aka.ms/weboutlook" id=LPNoLP>Outlook</a><o:p></o:p></span></p></div></div></div><div class=MsoNormal align=center style='text-align:center'><hr size=2 width="98%" align=center></div><div id=divRplyFwdMsg><p class=MsoNormal><b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:black'>From:</span></b><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:black'> FOULDE Damien <<a href="mailto:damien.foulde@...4205...">damien.foulde@...4205...</a>><br><b>Sent:</b> Wednesday, December 28, 2016 9:23:21 AM<br><b>To:</b> joshua burgess<br><b>Cc:</b> <a href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@lists.sourceforge.net</a><br><b>Subject:</b> RE: 1337 Bot and TCP options detection</span> <o:p></o:p></p><div><p class=MsoNormal> <o:p></o:p></p></div></div><div><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Hello Joshua,</span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>You may write an ip rule, not a tcp one, to be able to match on the |01 03 03 07| content in the TCP header.</span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>However writing the snort rule through this way will prevent you to use the “flags” keyword reserved for the tcp rules.</span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Regards,</span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Damien</span><o:p></o:p></p><p class=MsoNormal><span lang=EN-US style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>De :</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> joshua burgess [<a href="mailto:avonyxx@...12...">mailto:avonyxx@...12...</a>] <br><b>Envoyé :</b> mercredi 28 décembre 2016 13:51<br><b>À :</b> <a href="mailto:snort-sigs@...551...ceforge.net">snort-sigs@lists.sourceforge.net</a><br><b>Objet :</b> [Snort-sigs] 1337 Bot and TCP options detection</span><o:p></o:p></p></div></div><p class=MsoNormal> <o:p></o:p></p><div id=divtagdefaultwrapper><p><span style='font-family:"Calibri","sans-serif";color:black'>To check a few boxes, I'm trying to gen up two signatures designed to detect the latest 1337 bot that Imperva wrote about (<a href="https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html" id=LPlnk958157>https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html</a>)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Basically I'm trying to write a signature designed to detect the TCP options which spell out 1337 as well as an abnormally large SYN packet ranging from 799 to 936. </span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>I don't know SNORT supports my specifying the TCP options like:</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Number: No-Operation (NOP) (1)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Kind: Window Scale (3)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Length: (3)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Shift count: (7)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Could I do it with"content" only, it doesn't seem likely but I'm running out of ideas...</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"1337 DDoS Tool"; flags:S; content:"Number: No-Operation (NOP) (1)"; content:"Kind: Window Scale (3)"; content:"Length: (3)"; content:"Shift count: (7)"; reference:url,https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html; classtype:attempted-dos; sid:6000049; rev:1;)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><p class=MsoNormal><span style='font-family:"Calibri","sans-serif";color:black'>As far as writing a signature to look for just the SYN packet size would this work to set two different sizes? </span><o:p></o:p></p><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p></div><div><p class=MsoNormal><span style='font-family:"Calibri","sans-serif";color:black'>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"1337 DDoS Tool"; flags:S; dsize:>799; dsize:<936; reference:url,https://www.incapsula.com/blog/650gbps-ddos-attack-leet-botnet.html; classtype:attempted-dos; sid:6000049; rev:1;)</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'>Any help would be awesome. Thanks!</span><o:p></o:p></p><p><span style='font-family:"Calibri","sans-serif";color:black'> </span><o:p></o:p></p><div id=Signature><div id=divtagdefaultwrapper><p class=MsoNormal style='background:white'><span style='font-family:"Calibri","sans-serif";color:black'>Sent from <a href="http://aka.ms/weboutlook" id=LPNoLP>Outlook</a></span><o:p></o:p></p></div></div></div></div></div></div></body></html>