<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=Windows-1252">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>RE: [Snort-users] resp in rule</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=2>Logically, I would think that it is possible.  The real question is, would it do what you have in mind?  I'm not up on the rules language, but there is a flex-resp action for it:  icmp_host (for destination host unreachable, anyway).  The rule could be triggered by ICMP requests of the proper type.  The catch is, though, that that same ICMP request would in fact breeze right by the IDS unmolested.  The end result is most likely two answers for the same request.  Maybe you could 'patch' this up by blocking the normal answers via firewall rules.  You could block all ICMP answers from everything but the IDS...  That might work.  Bear in mind, this is all still fuzzy logic.  I have tested none of this.</FONT></P>

<P><FONT SIZE=2>Can anyone else lend a hand here?</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>

<BR><FONT SIZE=2>From: snort-users-admin@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>[<A HREF="mailto:snort-users-admin@...973...et">mailto:snort-users-admin@lists.sourceforge.net</A>]On Behalf Of JR</FONT>

<BR><FONT SIZE=2>Sent: Wednesday, January 29, 2003 3:20 PM</FONT>

<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Subject: [Snort-users] resp in rule</FONT>
</P>
<BR>

<P><FONT SIZE=2>I would like to create a rule that responds to any ping with a "destination</FONT>

<BR><FONT SIZE=2>unreachable" as oppose to the Windows "timed out"</FONT>

<BR><FONT SIZE=2>Is this possible?</FONT>

<BR><FONT SIZE=2>Thanx</FONT>

<BR><FONT SIZE=2>JR</FONT>
</P>
<BR>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>

<BR><FONT SIZE=2>This SF.NET email is sponsored by:</FONT>

<BR><FONT SIZE=2>SourceForge Enterprise Edition + IBM + LinuxWorld = Something 2 See!</FONT>

<BR><FONT SIZE=2><A HREF="http://www.vasoftware.com">http://www.vasoftware.com</A></FONT>

<BR><FONT SIZE=2>_______________________________________________</FONT>

<BR><FONT SIZE=2>Snort-users mailing list</FONT>

<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>

<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>

<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>

<BR><FONT SIZE=2>Snort-users list archive:</FONT>

<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>