<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: Snort-users digest, Vol 1 #2589 - 3 msgs</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>In answer to your question:  </FONT>
</P>

<P><FONT SIZE=2>1) Presuming that AIM only uses TCP port 5190 and is not proxied, then yes, the rule you note below will generate a Snort alert for all AIM packets it captures.  </FONT></P>

<P><FONT SIZE=2>2) As I just noted above, Snort will generate an alert, and depending on logging facility you use, Snort will either log the entire contents of the *packet* or just some high-level information.  You may want to consider making the AIM rule only a logging rule (i.e., "log tcp any any -> any 5190") to avoid getting overrun my alerts generated by AIM traffic.  Unless of course, you actually want those alerts  ;)  </FONT></P>

<P><FONT SIZE=2>3) And no, the rule will not capture the whole AIM conversation.  Though I imaging that is would be possible to use binary logging or the unified log facility and some sort of post processor to piece together all of AIM packets captured and reconstruct the AIM conversation.  </FONT></P>

<P><FONT SIZE=2>4) Yes, create a .rules file (or use the local.rules) and make reference to it in the snort.conf file.  </FONT>
</P>

<P><FONT SIZE=2>- Christopher</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: "Shafer, Troy" <tshafer@...7761...></FONT>
<BR><FONT SIZE=2>To: "'snort-users@lists.sourceforge.net'"</FONT>
<BR>        <FONT SIZE=2> <snort-users@lists.sourceforge.net></FONT>
<BR><FONT SIZE=2>Date: Mon, 16 Dec 2002 14:57:42 -0500</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] another question</FONT>
</P>

<P><FONT SIZE=2>I found this code on the net for logging aim traffic...</FONT>
</P>

<P><FONT SIZE=2>alert tcp any any -> any 5190 (msg:"AIM Message"; content:"HTML";)</FONT>
</P>

<P><FONT SIZE=2>my first question, does this actually log the content of the messages and</FONT>
<BR><FONT SIZE=2>two how would I implement this with snort... write a .rules file... then put</FONT>
<BR><FONT SIZE=2>and include in the the snort.conf?  Still trying to figure this snort thing</FONT>
<BR><FONT SIZE=2>out...</FONT>
</P>

<P><FONT SIZE=2>Troy Shafer</FONT>
<BR><FONT SIZE=2>Network Engineer</FONT>
<BR><FONT SIZE=2>Laurel County Schools</FONT>
<BR><FONT SIZE=2> </FONT>
<BR><FONT SIZE=2>606-862-4616</FONT>
<BR><FONT SIZE=2>tshafer@...7761...</FONT>
</P>

</BODY>
</HTML>