<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>What program is that a snap-shot of?<br><br>Desmond Agee</div><div><br>On Jan 31, 2017, at 8:27 PM, John G <<a href="mailto:drterdnugget@...2420...">drterdnugget@...2420...</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Alright, so this is basically what I did.  <div><br></div><div>Alert ip !SOURCEIP any [8, Destination, IP's] any <span style="font-size:12.8px">(msg:”Unauthorized TCP traffic initiated”;)</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">I figured out that you can negate with ! in front of the IP's.  To test it, I have been sending ping packets to the destination IP's from a source ip address that is NOT what i entered in the Source IP part of the rule.  However, I am not receiving any alerts.  Do i need to add arguments to look for tcp traffic? </span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 31, 2017 at 5:58 PM, John G <span dir="ltr"><<a href="mailto:drterdnugget@...3371...20..." target="_blank">drterdnugget@...2420...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Forgot to attach the screenshot.  </div><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Tue, Jan 31, 2017 at 5:09 PM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...3865..." target="_blank">jesler@...3865...</a>></span> wrote:<br></span><div><div class="h5"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word">Maybe something like:<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>alert tcp $SOURCEIP any -> ![destip1, destip2, destip3] any (msg:”Unauthorized TCP traffic initiated”; flags:S; sid:1000000; rev:1;)</div></blockquote><div><br></div><div>?</div><div><br></div><div><br><div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div><b style="font-family:Calibri,sans-serif;font-size:10px"><font color="#5e5e5e">--</font></b></div><div style="font-size:14px"><b style="font-family:Calibri,sans-serif;font-size:12px"><font color="#5e5e5e">Joel Esler </font></b><span style="font-family:Calibri,sans-serif;font-size:12px">| </span><b style="font-family:Calibri,sans-serif;font-size:12px"><font color="#0096ff">Talos:</font></b><span style="font-family:Calibri,sans-serif;font-size:12px"> M</span><font color="#424242" style="font-family:Calibri,sans-serif;font-size:12px">anager | <a href="mailto:jesler@...3865..." target="_blank">jesler@...3865...</a></font></div><div><font color="#424242" style="font-family:Calibri,sans-serif;font-size:10px"><br></font></div></div><br class="m_2679673578201067012m_-5867798478582929025Apple-interchange-newline"></div><br class="m_2679673578201067012m_-5867798478582929025Apple-interchange-newline"></div><br class="m_2679673578201067012m_-5867798478582929025Apple-interchange-newline"><br class="m_2679673578201067012m_-5867798478582929025Apple-interchange-newline">
</div>
<br><div><blockquote type="cite"><div><div class="m_2679673578201067012h5"><div>On Jan 31, 2017, at 5:33 PM, John G <<a href="mailto:drterdnugget@...2420..." target="_blank">drterdnugget@...2420...</a>> wrote:</div><br class="m_2679673578201067012m_-5867798478582929025Apple-interchange-newline"></div></div><div><div><div class="m_2679673578201067012h5"><div dir="ltr">Good Afternoon everyone, <div><br></div><div>My name is John and I am starting out with creating Snort rules.  I have experience using Snort with IDS's such as Sourcefire and Security Onion for incident response.  However, i don't have much experience creating custom rules.  Although i once created a rule during one of my security classes during my undergrad program lol  Anyway, i have been reading documentation for how to understand/create rules from a variety of sources.  But I wanted to reach out to you guys and see what information you can provide.  </div><div><br></div><div>I have a device that is communicating with about 8 other devices.  I would like to write a rule that alerts if it detects any communication outside of those devices. </div><div><br></div><div>Is it possible to list multiple ip addresses within a rule and maybe use an is not "!=" attribute.  </div><div><br></div><div>So something like: alert tcp != sourceip1  80 -> destip1, destip2, destip3, etc (msg:"Alert Message";)</div><div><br></div><div>I would appreciate any assistance and will continue to do my own research and see if i can figure it out on my own :)</div><div><br></div><div>Regards, </div><div>John </div></div></div></div><span>
------------------------------<wbr>------------------------------<wbr>------------------<br>Check out the vibrant tech community on one of the world's most<br>engaging tech sites, <a href="http://SlashDot.org" target="_blank">SlashDot.org</a>! <a href="http://sdm.link/slashdot_______________________________________________" target="_blank">http://sdm.link/slashdot______<wbr>______________________________<wbr>___________</a><br>Snort-sigs mailing list<br><a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@...1306...<wbr>et</a><br><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-sigs</a><br><br><a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br><br>Visit the <a href="http://Snort.org">Snort.org</a> to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a href=" <a href="https://snort.org/downloads/#rule-downloads" target="_blank">https://snort.org/downloads/#r<wbr>ule-downloads</a>">emerging threats</a>!</span></div></blockquote></div><br></div></div></blockquote></div></div></div><br></div>
</blockquote></div><br></div>
</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br><span>Check out the vibrant tech community on one of the world's most</span><br><span>engaging tech sites, <a href="http://SlashDot.org">SlashDot.org</a>! <a href="http://sdm.link/slashdot">http://sdm.link/slashdot</a></span></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-sigs mailing list</span><br><span><a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...2926...ts.sourceforge.net</a></span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a></span><br><span></span><br><span><a href="http://www.snort.org">http://www.snort.org</a></span><br><span></span><br><span>Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> for the latest news about Snort!</span><br><span></span><br><span>Visit the <a href="http://Snort.org">Snort.org</a> to subscribe to the official Snort ruleset, make sure to stay up to date to catch the most <a href=" <a href="https://snort.org/downloads/#rule-downloads">https://snort.org/downloads/#rule-downloads</a>">emerging threats</a>!</span></div></blockquote></body></html>