<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2654.45">
<TITLE>Snort 2.0.4 and threshold</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2 FACE="Arial">Hello all,</FONT>
<BR><FONT SIZE=2 FACE="Arial">I am just upgrading to snort 2.0.4 and I would like to use the new Nachi Rule from Paul L Schmehl.</FONT>
<BR><FONT SIZE=2 FACE="Arial">But whenever I try to use and threshold stuff, my snort complains:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">THRESHOLD: gen_id=1, sig_id=10000008, type=2, tracking=0, count=1000, seconds=60 </FONT>
<BR><FONT SIZE=2 FACE="Arial">ERROR: Rule-Threshold-Parse: could not create a threshold object -- only one per sid, sid = 10000008</FONT>
<BR><FONT SIZE=2 FACE="Arial">Fatal Error, Quitting..</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">So I thought that I might need to initalise the threshold system, and found that a:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">config threshold: memcap 30000</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">in the snort.conf breaks my snort even before the Rules are read ;-(</FONT>
<BR><FONT SIZE=2 FACE="Arial">So I looked at the sources and found that ProcessThresholdOptions is not even used in parser.c or any other source file. I checked in the CVS, and on the lastest version at least a call to this function is in parser.c. So I tried to use this in parser.c and at least got snort to accecpt the config statement, but still without any success for the rule.</FONT></P>

<P><FONT SIZE=2 FACE="Arial">Did anyone get the Rule:</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">alert icmp $HOME_NET any -> any any (msg: "ALERT!!! NACHI Infection!!"; content: "|aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa aaaa|"; dsize:64; itype: 8; icode: 0; threshold: type both, track by_src, count 1000, seconds 60; classtype:trojan-activity; sid: 10000008; rev: 4;)</FONT></P>

<P><FONT SIZE=2 FACE="Arial">to work with a vanilla 2.0.4 snort ? </FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Many thanks for any help.</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial">Michael</FONT>
</P>

</BODY>
</HTML>