<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 5.50.4807.2300" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>
<DIV><FONT face=Arial color=#0000ff size=2><SPAN class=906222120-24102001>Aim 
normally connects on tcp 5190 but it can be set to communicate on any port. Also 
the data portion of the packet starts with |2A 02|, it may also start with |2A 
05| but this is only for the "unknown" info message, so you really don't need to 
capture those packets.</SPAN></FONT></DIV>
<DIV><FONT face=Arial color=#0000ff size=2></FONT> </DIV>
<DIV><FONT face=Arial color=#0000ff size=2>log tcp any any -> any 5190 
(content:"|2A 02|";)<BR>log tcp any 5190 -> any any (content:"|2A 
02|";)<BR></FONT></DIV>
<DIV><SPAN class=652452520-24102001><FONT face=Arial color=#0000ff size=2>If I 
get some time soon I'll try to clean up the rule a little bit. As it sits 
you will get some false positives, but it will catch all the aim traffic on 
5190. I put this in because our execs wanted to keep a record of aim traffic in 
case we had an info leak, but did not want to ban AIM (trying to keep the 
employees happy :)</FONT></SPAN></DIV>
<DIV><SPAN class=652452520-24102001><FONT face=Arial color=#0000ff 
size=2>Mike</FONT></SPAN></DIV></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> Greg Robinson 
  [mailto:greg@...3899...]<BR><B>Sent:</B> Wednesday, October 24, 2001 4:24 
  PM<BR><B>To:</B> Snort-users@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-users] AOL Rule<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial size=2>Has anyone ever writen a rule to log aol IM's the 
  way the MSM im's are logged to the database....some help on that would greatly 
  be appreciated...</FONT></DIV>
  <DIV><FONT face=Arial size=2></FONT> </DIV>
  <DIV><FONT face=Arial size=2>Greg</FONT></DIV></BLOCKQUOTE></BODY></HTML>