<DIV>Hi,</DIV>
<DIV> </DIV>
<DIV>Mhh I would like to know if this signature is gonna work if I remove the line <FONT face=Courier color=#000000 size=2>byte_test:2,>,1024,0,relative,little</FONT></DIV>
<DIV> </DIV>
<DIV>alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"NETBIOS SMB trans2open buffer overflow attempt"; flow:to_server,established; =<BR>content:"|00|"; offset:0; depth:1; content:"|ff 53 4d 42 32|"; offset:4; =<BR>depth:5; content:"|00 14|"; offset:60; depth:2; = byte_test:2,>,1024,0,relative,little; reference:cve,CAN-2003-0201; =<BR>reference:url,www.digitaldefense.net/labs/advisories/DDI-1013.txt; =<BR>classtype:attempted-admin; sid:2103; rev:2;)</DIV>
<DIV> </DIV>
<DIV>I ask this because itīs not working with snort 1.9.1 through snortcenter, it doesnīt have that field.</DIV>
<DIV> </DIV>
<DIV>Iīd appreciate your help,</DIV>
<DIV> </DIV>
<DIV>Joe</DIV>
<DIV> </DIV><BR><BR>"Courage is resistance to fear, mastery of fear, not absence of fear." -- Mark Twain<p><br><hr size=1>Do you Yahoo!?<br>
<a href="http://us.rd.yahoo.com/finance/mailsig/*http://tax.yahoo.com">Yahoo! Tax Center</a> - File online, calculators, forms, and more