You can also run your rules through the tool that Leon recently created to look for just such errors / omissions called dumbpig => <a href="http://leonward.wordpress.com/2009/06/07/dumbpig-automated-checking-for-snort-rulesets/">http://leonward.wordpress.com/2009/06/07/dumbpig-automated-checking-for-snort-rulesets/</a><br>
<br>JJC<br><br><div class="gmail_quote">On Tue, Aug 4, 2009 at 7:56 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935...">jesler@...1935...</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Is that all your pass rule says?  You need a MSG, more importantly,<br>
you need to have a sid. Or else Snort ignores your mistake.<br>
<font color="#888888"><br>
--<br>
Sent from my iPhone<br>
</font><div><div></div><div class="h5"><br>
On Aug 4, 2009, at 5:35 AM, Loïc Etienne <<a href="mailto:loic.etienne@...7615...">loic.etienne@...7615...</a>> wrote:<br>
<br>
> Hello,<br>
><br>
> We are using custom pass rules to disable alerts for some hosts/ports,<br>
> but still get alerts for those... We are using Snort SP beta 2. Is<br>
> there<br>
> a problem with our rules?<br>
><br>
> Rule order is "Rule application order:<br>
> activation->dynamic->pass->drop->alert->log".<br>
><br>
> Thanks in advance for your help! Details below:<br>
><br>
> The pass rule:<br>
> pass tcp any 1024: <> 83.231.216.140  8000<br>
><br>
> The alert rule:<br>
> alert tcp any $IRC_PORTS -> any $IRC_PORTS ( \<br>
>   msg:"IRC NICK command"; \<br>
>   flow:established; \<br>
>   content:"NICK"; offset:0; depth:256; \<br>
><br>
> pcre:"/^((\x3a[^\x00\x20\r\n]+\x20+)?\w+(\x20[^\x00\r\n]*)?\r?\n)*?<br>
> (\x3a[^\x00\x20\r\n]+\x20+)?NICK\x20/is";<br>
> \<br>
>   classtype:policy-violation; \<br>
>   sid:3584011; rev:4; )<br>
><br>
> And the unexpected alert:<br>
> [**] [1:3584011:4] IRC NICK command [**]<br>
> [Classification: Potential Corporate Privacy Violation] [Priority: 1]<br>
> 08/03/09-10:59:03.366483 137.xxx.xxx.xxx:2774 -> <a href="http://83.231.216.140:8000" target="_blank">83.231.216.140:8000</a><br>
> TCP TTL:124 TOS:0x0 ID:37448 IpLen:20 DgmLen:103 DF<br>
> ***AP*** Seq: 0x335AA519  Ack: 0x7AC349AF  Win: 0xFFFF  TcpLen: 20<br>
><br>
> Cheers,<br>
> Loïc Etienne<br>
><br>
> ---<br>
> ---<br>
> ---<br>
> ---------------------------------------------------------------------<br>
> Let Crystal Reports handle the reporting - Free Crystal Reports 2008<br>
> 30-Day<br>
> trial. Simplify your report design, integration and deployment - and<br>
> focus on<br>
> what you do best, core application coding. Discover what's new with<br>
> Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
------------------------------------------------------------------------------<br>
Let Crystal Reports handle the reporting - Free Crystal Reports 2008 30-Day<br>
trial. Simplify your report design, integration and deployment - and focus on<br>
what you do best, core application coding. Discover what's new with<br>
Crystal Reports now.  <a href="http://p.sf.net/sfu/bobj-july" target="_blank">http://p.sf.net/sfu/bobj-july</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div></div></blockquote></div><br><br clear="all"><br>