<div class="gmail_quote">On Fri, May 29, 2009 at 12:56 PM, Jeff Dell <span dir="ltr"><<a href="mailto:jdell@...1095...">jdell@...1095...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">









<div lang="EN-US" link="blue" vlink="purple">

<div>

<p><span style="font-size:11.0pt;color:#1F497D">The problem with once a week is what happens if you check on Monday
at 8am and the rules are updated on Monday at 8:05? You won’t get any updates
for 2 weeks. It would be really great to have something like a checksum that
will be available to see if there is a change in the rules file. This way users
know exactly when an update has occurred and even if they check it every 15
minutes they will be checking a tiny file as compared to 90megs+ file. Then
incorporating this into your favorite update utility will make updates very
fast most of the time as there won’t be an update to the file, and would severely
lower the bandwidth that <a href="http://snort.org" target="_blank">snort.org</a> needs.</span></p>

<p><span style="font-size:11.0pt;color:#1F497D"> </span></p></div></div></blockquote><div><br></div><div>A tool was recently written by one of our guys here at Sourcefire called "PulledPork". </div><div><a href="http://code.google.com/p/pulledpork/">http://code.google.com/p/pulledpork/</a></div>
<div><br></div><div>This tool updates rules and does exactly that (Checks the checksum of the rules first).</div><div><br></div><div><br></div></div>-- <br>joel esler | Sourcefire | gtalk: <a href="mailto:jesler@...1935...">jesler@...1935...</a> | 302-223-5974<br>