<DIV>Hi </DIV>
<DIV>Is anybody there who can solve this simple problem...</DIV>
<DIV> </DIV>
<DIV>Dennis</DIV>
<DIV><BR><B><I>Dennis George <easyeinfo@...131...></I></B> wrote:
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">
<DIV>Hi </DIV>
<DIV> </DIV>
<DIV>This is an extract from snort's FAQ (<A href="http://www.snort.org/">www.snort.org</A>)</DIV>
<DIV>==========================================================</DIV>
<DIV>    alert tcp any any -> $HOME 80 (content: "foo"; msg: "foo";)<BR>    alert tcp any any -> $HOME 1:1024 (flags: S; msg: "example";)<BR>    alert tcp any any -> $HOME 80 (flags: S; msg: "Port 80 SYN!";)<BR>    alert tcp any any -> $HOME 80 (content: "baz"; msg: "baz";)</DIV>
<DIV> </DIV>
<DIV>Note that all three of the port 80 rules will be checked before the "1:1024"<BR>rule due to the order in which the applicable RTN has been created. This is<BR>because the rules parser builds the first chain header for port 80 traffic and<BR>sticks it on the rules list, then on the next rule it sees that a new chain<BR>header is required, so it gets built and put in place. <STRONG>In this case you would<BR>intuitively expect to get the "example" message and never see the "Port 80 SYN!<BR>", but the opposite is true.</STRONG><BR>==========================================================<BR></DIV>
<DIV>So this means that snort will not check further  if any of the rule is matched..... Am I correct ????</DIV>
<DIV> </DIV>
<DIV>By the I am using snort 2.1.0 ..... And Is it possible in Snort 2.2.0 ..... Is it the default action in Snort 2.2.0 or do we have to do some work to enable it ????<BR><BR><B><I>Pedro Fortuna <pedro.fortuna@...11827...></I></B> wrote:</DIV>
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">
<P>Hello,<BR><BR>1) In these cases, only the highest priority rule will generate an alert.<BR>2) I dont know the answer for sure, but my guess is:<BR>- if the two rules are equal except for the SID, you'll get two alerts<BR>- if the two rules are completly equal (SID included), you'll get<BR>an error on snort start.<BR><BR>-Pedro Fortuna<BR></P>
<P><STRONG><EM>Esler, Joel - Contractor" <joel.esler@...9426...></EM></STRONG> wrote: </P>
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">
<META content="MSHTML 6.00.2800.1458" name=GENERATOR>
<DIV><SPAN class=510383112-13092004><FONT face=Arial color=#0000ff size=2>Depends on what version of Snort you are running.  Apparently Snort 2.2.0 alerts off of multiple rules.</FONT></SPAN></DIV>
<DIV><SPAN class=510383112-13092004><FONT face=Arial color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=510383112-13092004><FONT face=Arial color=#0000ff size=2>Joel</FONT></SPAN></DIV></BLOCKQUOTE>
<P><BR>----- Original Message -----<BR>From: Dennis George <EASYEINFO@...1688...><BR>Date: Mon, 13 Sep 2004 02:44:08 -0700 (PDT)<BR>Subject: [Snort-users] A simple question........<BR>To: snort-users@lists.sourceforge.net<BR><BR><BR>Hi all,<BR><BR>I think it will be simple question............ But I am slighlty<BR>confused..........<BR><BR>1) If in my rule file I have 3 rules and in a packet all the 3 rules<BR>get satisfied... do I get all the three alerts ??<BR><BR>2) If I have two identical rules then does snort discard one of the<BR>rule or generate two alerts when that rule is satisfied ???<BR><BR>thanks in advance<BR><BR>Dennis<BR></P></BLOCKQUOTE>
<P>
<HR SIZE=1>
Do you Yahoo!?<BR><A href="http://us.rd.yahoo.com/mail_us/taglines/50x/*http://promotions.yahoo.com/new_mail/static/efficiency.html">Yahoo! Mail</A> - 50x more storage than other providers!</BLOCKQUOTE></DIV><p>
                <hr size=1>Do you Yahoo!?<br>
<a href="http://us.rd.yahoo.com/mail_us/taglines/100/*http://promotions.yahoo.com/new_mail/static/efficiency.html">New and Improved Yahoo! Mail</a> - 100MB free storage!