<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1400" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>Hi 
there. </FONT></SPAN></DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>Can someone help 
with a problem I'm having trying to write snort rules.  
</FONT></SPAN></DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>I have a series of 
rules to either pass legitimate traffic or alert on certain events.  
Finally I have a catch all rule to alert on any packet not covered by the 
above.  I've changed the rule order with -o so that pass rules have the 
desired effect, and this seems to be working.</FONT></SPAN></DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>pass udp $SRC any 
<> $DEST $PORT (classtype:ignore)</FONT></SPAN></DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>alert ip any any 
-> any any (msg: "Unexpected unclassified traffic"; classtype: 
unexpected-traffic; )<BR></FONT></SPAN></DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=139324713-09072004><FONT face=Arial size=2>These rules work 
fine for most of the traffic, but when I get a fragmented UDP packet come 
through, the fragment causes the altert to be generated.  
</FONT></SPAN></DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN 
class=139324713-09072004></SPAN></FONT></FONT> </DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN class=139324713-09072004>I've tried 
adding a fragoffset:0 into the rule to only altert if it's the first fragment, 
but it doesn't seem to help. </SPAN></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN 
class=139324713-09072004></SPAN></FONT></FONT> </DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN class=139324713-09072004>Can anyone 
suggest what I might be doing wrong?</SPAN></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN 
class=139324713-09072004></SPAN></FONT></FONT> </DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN class=139324713-09072004>Thanks in 
advance</SPAN></FONT></FONT></DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN 
class=139324713-09072004></SPAN></FONT></FONT> </DIV>
<DIV><FONT face=Arial><FONT size=2><SPAN 
class=139324713-09072004> </DIV></SPAN></FONT></FONT></BODY></HTML>