Joel,<br><br>that's what I said:<br><br>"<br>The problem is I want to make that to connections, not sessions.<br>
<br>If it was sessions I can use the 'flag' keyword.<br>"<br><br>But I *don't* want sessions.<br><br><div class="gmail_quote">2009/4/22 Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935...">jesler@...1935...</a>></span><br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Take a look at the tag keyword.<br><a href="http://www.snort.org/docs/snort_htmanuals/htmanual_284/node373.html" target="_blank">http://www.snort.org/docs/snort_htmanuals/htmanual_284/node373.html</a><br>

<br>The flags keyword simply will trigger on the presence of certain TCP flags set in the packet.á This is probably not what you want.<br>
<br>J<br><br><div class="gmail_quote">2009/4/22 Ulisses Ara˙jo Costa <span dir="ltr"><<a href="mailto:ulissesaraujocosta@...11827..." target="_blank">ulissesaraujocosta@...11827...</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

<div><div></div><div class="h5">
Hello,<br><br>I'm using Snort in a project. I'm wondering if with Snort I can group packets from the same connection. For example: if I request <a href="http://google.com" target="_blank">google.com</a>, I just send one packet but the response came in (imagine) 4 packets. The idea is make Snort just consider that as 2 states (me making the request and google sending the response). The problem is I want to make that to connections, not sessions.<br>




<br>If it was sessions I can use the 'flag' keyword. Now I'm seeing if the way is using preprocessors, in this case the HTTP preprocessor.<br><br>Can you help me?<br><br>Best Regards,<br clear="all"><font color="#888888"><br>


-- <br>

Ulisses Costa - <a href="http://caos.di.uminho.pt/%7Eulisses/" target="_blank">http://caos.di.uminho.pt/~ulisses/</a><br>
</font><br></div></div>------------------------------------------------------------------------------<br>
Stay on top of everything new and different, both inside and<br>
around Java (TM) technology - register by April 22, and save<br>
$200 on the JavaOne (SM) conference, June 2-5, 2009, San Francisco.<br>
300 plus technical and hands-on sessions. Register today.<br>
Use priority code J9JMT32. <a href="http://p.sf.net/sfu/p" target="_blank">http://p.sf.net/sfu/p</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><font color="#888888"><br><br clear="all"><br>-- <br>joel esler | Sourcefire | gtalk: <a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a> | 302-223-5974 | <a href="http://twitter.com/joelesler" target="_blank">http://twitter.com/joelesler</a><br>



</font></blockquote></div><br><br clear="all"><br>-- <br>Ulisses Costa - <a href="http://caos.di.uminho.pt/~ulisses/">http://caos.di.uminho.pt/~ulisses/</a><br>