<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; ">Bill,<DIV><BR class="khtml-block-placeholder"></DIV><DIV>This is exactly the correct place to ask Snort Rules questions.</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>I suggest you eliminate the "ip" in the rule.  Try replacing it with TCP or even using the tcp rule that I jotted down.  </DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>Grabbing it out of an email should be easy, however an attachement is not so easy depending upon the type of attachment, for example, if it's a plaintext document or something, yes, it might grab it, but if it's written in Word, or maybe a pdf, since those are formatted differently, it's a bit harder.</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>So, step one, lets move from ip to tcp, and see how that works.  Also, try and eliminate your any any, perhaps change it to any any to HOME_NET any</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>J</DIV><DIV><BR><DIV><DIV>On Jan 26, 2007, at 1:58 PM, Bill Lopez wrote:</DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"> <DIV class="Section1"><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">Thank you for the quick response to my question.  <O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">I don’t want to keep asking elementary questions in this forum if its not appropriate, please let me know if this isn’t the proper place and direct me to where I can ask basic questions.<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">I wasn’t able to get an alert on the bleeding rule<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P> <PRE><FONT size="2" face="Courier New"><SPAN style="font-size:10.0pt">alert tcp any any -> any any (msg: "BLEEDING-EDGE SSN Detected in Clear Text"; flow: established; pcre:"/ ([0-6]\d\d|7[0-256]\d|73[0-3]|77[0-2])-\d{2}-\d{4} /"; classtype: policy-violation; sid: 2001328; rev:8; )<O:P></O:P></SPAN></FONT></PRE><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">thus the reason for trying to write my own with a small variance in the character string –  <O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal" style="text-autospace:none"><FONT size="2" face="Courier New"><SPAN style="font-size:10.0pt;font-family:" courier="" new""="">alert ip any any -> $EXTERNAL_NET any (pcre:"/\d{3}(\s|-)?\d{2}(\s|-)?\d{4}/"; msg:"SSN Detected in Clear Text"; sid: 1000004;)<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">which doesn’t produce an alert either – eventually I want to apply this filter to just traffic from/to mail , telnet, ftp (etc) servers – I can send any variance of xxx-xx-xxxx, xxxxxxxx  or xxx xx xxxx via an e-mail, text file attachment or file upload and still never see an alert to the console.  I have a simple rule to check for content using a keyword and get alerted when sending that keyword with e-mail, attachment and file upload (this was my test to see if snort was actually alerting correctly)  I am only running my test rules with an out of the box snort.conf file.<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial">Why wouldn’t either of the above rules alert with (for example) an e-mail sent with 555-55-5555 in the body?<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" face="Arial"><SPAN style="font-size:10.0pt; font-family:Arial"><O:P> </O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" color="navy" face="Arial"><SPAN style="font-size: 10.0pt;font-family:Arial;color:navy">Bill Lopez<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" color="navy" face="Arial"><SPAN style="font-size: 10.0pt;font-family:Arial;color:navy">Operating Engineers Trust Funds<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" color="navy" face="Arial"><SPAN style="font-size: 10.0pt;font-family:Arial;color:navy">(626) 356-3524<O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="2" color="navy" face="Arial"><SPAN style="font-size: 10.0pt;font-family:Arial;color:navy">(626) 255-1066</SPAN></FONT><FONT size="2" color="navy" face="Arial"><SPAN style="font-size:10.0pt;font-family:Arial; color:navy"><O:P></O:P></SPAN></FONT></P><P class="MsoNormal"><FONT size="3" face="Times New Roman"><SPAN style="font-size: 12.0pt"><O:P> </O:P></SPAN></FONT></P> </DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">-------------------------------------------------------------------------</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Take Surveys. Earn Cash. Influence the Future of IT</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Join SourceForge.net's Techsay panel and you'll get the chance to share your</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">opinions on IT & business topics through brief surveys - and earn cash</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV_______________________________________________">http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV_______________________________________________</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Snort-users mailing list</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Go to this URL to change user options or unsubscribe:</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Snort-users list archive:</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; "><A href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></DIV> </BLOCKQUOTE></DIV><BR><DIV> <SPAN class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px 0px; color: rgb(0, 0, 0); font-family: Times; font-size: 13px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: auto; -khtml-text-decorations-in-effect: none; text-indent: 0px; -apple-text-size-adjust: auto; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px; "><DIV style=""><FONT class="Apple-style-span" face="Lucida Grande" size="3"><SPAN class="Apple-style-span" style="font-size: 12px;; font-family: Lucida Grande; "><SPAN class="Apple-style-span" style="font-family: Lucida Grande; font-size: 12px; ">--Joel</SPAN></SPAN></FONT></DIV><DIV style=""><FONT class="Apple-style-span" face="Lucida Grande" size="3"><SPAN class="Apple-style-span" style="font-size: 12px;; font-family: Lucida Grande; "><SPAN class="Apple-style-span" style="font-family: Lucida Grande; font-size: 12px; "><A href="mailto:joel.esler@...1935...">joel.esler@...1935...</A></SPAN></SPAN></FONT></DIV><DIV style=""><FONT class="Apple-style-span" size="3"><SPAN class="Apple-style-span" style="font-size: 12px;"><FONT class="Apple-style-span" color="#0000DD" face="Courier"><SPAN class="Apple-style-span" style="color: rgb(0, 0, 221); font-family: Courier; font-size: 12px; "><A href="http://demo.sourcefire.com/jesler.pgp.key">http://demo.sourcefire.com/jesler.pgp.key</A></SPAN></FONT></SPAN></FONT></DIV><DIV style="font-family: Lucida Grande; font-size: 12px; "><FONT class="Apple-style-span" color="#0000DD" face="Courier" size="3"><SPAN class="Apple-style-span" style="font-size: 12px;; color: rgb(0, 0, 221); font-family: Courier; "><BR class="khtml-block-placeholder"></SPAN></FONT></DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV><BR class="khtml-block-placeholder"></DIV><BR class="Apple-interchange-newline"></SPAN> </DIV><BR></DIV></BODY></HTML>