Well, one way is you could attend the Snort 360 class offered by Sourcefire!  Ok, as one of the instructors I might be a bit biased....  ;-)<br><br>Seriously though, what we do in class is load the attribute table then demonstrate with some sample Snort rules using the metadata keyword how Snort now alerts for HTTP based rules on hosts which are identified in the XML file as serving HTTP on a given port even though the rule does not include that port.  <br>
<br>For example, you have a snort rule with the destination port of 80 and "metadata: service http;"   Now, if you have a host which is running - say webmin offering HTTP on port 10000.  You identify that in the attribute table file.  The snort rule will now be evaluated for the traffic destined for port 10000 on that host.  Yet it will not be processed for other hosts which are not identified in the XML file as listening for HTTP on port 10000.<br>
<br>You can write some quick sample rules to evaluate the behavior of your Snort installation to ensure it's working as advertised.<br><br clear="all">Alex Tatistcheff<br><a href="mailto:alext@...492...">alext@...14797...2...</a><br>
<br>The most terrifying words in the English language are, "I'm from the government and I'm here to help." -Ronald Reagan<br><br><br>
<br><br><div class="gmail_quote">On Tue, Mar 23, 2010 at 10:25 AM, Andy Berryman <span dir="ltr"><<a href="mailto:aberryman@...14758...">aberryman@...14758...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">










<div link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">I understand that it's loading the table. I was just asking if
there is a way to check AFTER it was loaded, to see if it was working. I guess
no news (errors) is good news? </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">I was also wondering what the lines meant directly below it? Do
they pertain to the XML files being loaded? I've never seen them until I added
the attribute table to the snort.conf</span></p><div class="im">

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=24 as service=x11</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=12 as service=netbios-ns</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=28 as service=ldap</p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

</div><p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Thanks,</span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);">Andy </span></p>

<p class="MsoNormal"><span style="font-size: 11pt; color: rgb(31, 73, 125);"> </span></p>

<div style="border-width: 1pt medium medium; border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; padding: 3pt 0in 0in;">

<p class="MsoNormal"><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;">
<a href="mailto:jcummings@...1935..." target="_blank">jcummings@...14156......</a> [mailto:<a href="mailto:jcummings@...1935..." target="_blank">jcummings@...1935...</a>] <b>On Behalf Of </b>JJ
Cummings<br>
<b>Sent:</b> Tuesday, March 23, 2010 11:00 AM<br>
<b>To:</b> Andy Berryman<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort Host Attribute table</span></p>

</div><div><div></div><div class="h5">

<p class="MsoNormal"> </p>

<div>

<p class="MsoNormal"><span><span style="font-size: 10pt;">One of the following outputs (depending on
HUP, Init.. etc).. this was taken from the email chain about this yesterday.</span></span><span style="font-size: 10pt;"></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size: 10pt;"> </span></p>

</div>

<div>

<p class="MsoNormal"><span><span style="font-size: 10pt;">JJC</span></span><span style="font-size: 10pt;"></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size: 10pt;"> </span></p>

</div>

<p class="MsoNormal" style="margin-bottom: 12pt;"><span><span style="font-size: 10pt;">1:</span></span><span style="font-size: 10pt;"><br>
<span>Mar 22 16:38:46 SNORT2 snort[21698]: Attribute
Table Loaded with 113 hosts</span><br>
<br>
<span>2:</span><br>
<span>Mar 22 16:38:49 SNORT2 snort[21699]: Attribute
Table Reload Thread Starting...</span><br>
<span>Mar 22 16:38:49 SNORT2 snort[21699]: Attribute Table
Reload Thread Started, thread 3059501968 (21699)</span><br>
<br>
<span>3:</span><br>
<span>Mar 22 16:27:01 SNORT2 snort[19778]:
===============================================================================</span><br>
<span>Mar 22 16:27:01 SNORT2 snort[19778]: Attribute
Table Stats:</span><br>
<span>Mar 22 16:27:01 SNORT2 snort[19778]: Number
Entries: 113</span><br>
<span>Mar 22 16:27:01 SNORT2 snort[19778]: Table
Reloaded: 0</span><br>
<span>Mar 22 16:27:01 SNORT2 snort[19778]:
===============================================================================</span></span></p>

<div>

<p class="MsoNormal">On Tue, Mar 23, 2010 at 9:56 AM, Andy Berryman <<a href="mailto:aberryman@...14758..." target="_blank">aberryman@...14776...8...</a>> wrote:</p>

<div>

<div>

<p class="MsoNormal">I
have an attribute table that was created with the help of Hooger. <--great
program btw</p>

<p class="MsoNormal">My
question is, now that snort's loading the file. How do I know it's working? </p>

<p class="MsoNormal">I
see it loading it in my syslog, but not sure if there is anything I can check
to make sure it's doing what it's supposed to be doing. </p>

<p class="MsoNormal">Also,
what does the below output tell me "fpBuildServicePortGroups"</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: Attribute Table Reload Thread Starting...</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: Attribute Table Reload Thread Started, thread
3067956416 (4648)</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: Checking PID path...</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: PID path stat checked out ok, PID path set to /var/run/</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: Writing PID "4648" to file
"/var/run//snort_eth1.pid"</p>

<p class="MsoNormal">Mar
23 15:42:26 (none) snort[4648]: Decoding Ethernet on interface eth1</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=24 as service=x11</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=12 as service=netbios-ns</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=28 as service=ldap</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=74 as service=ident</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=91 as service=rtsp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=13 as service=netbios-ssn</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=90 as service=ssl</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=7 as service=telnet</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=86 as service=sunrpc</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=10 as service=dcerpc</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=17 as service=finger</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=6 as service=ftp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding protocol-ordinal=57
as service=font-service</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=95 as service=ldp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=11 as service=netbios-dgm</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=8 as service=smtp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=21 as service=pop3</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=14 as service=nntp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=92 as service=kerberos</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=22 as service=snmp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=18 as service=imap</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=15 as service=dns</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=52 as service=mysql</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=5 as service=http</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=52 as service=mysql</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=10 as service=dcerpc</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=13 as service=netbios-ssn</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=91 as service=rtsp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=18 as service=imap</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=8 as service=smtp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=12 as service=netbios-ns</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=6 as service=ftp</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=15 as service=dns</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=24 as service=x11</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=7 as service=telnet</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=28 as service=ldap</p>

<p class="MsoNormal">Mar
23 15:42:35 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=22 as service=snmp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=5 as service=http</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=74 as service=ident</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=86 as service=sunrpc</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=94 as service=ircd</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding protocol-ordinal=90
as service=ssl</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=21 as service=pop3</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=14 as service=nntp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=10 as service=dcerpc</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=23 as service=tftp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=11 as service=netbios-dgm</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=12 as service=netbios-ns</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=15 as service=dns</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=92 as service=kerberos</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=22 as service=snmp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=13 as service=netbios-ssn</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=96 as service=radius</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding protocol-ordinal=86
as service=sunrpc</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=93 as service=ntp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=10 as service=dcerpc</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=91 as service=rtsp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=93 as service=ntp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=11 as service=netbios-dgm</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=12 as service=netbios-ns</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=13 as service=netbios-ssn</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=22 as service=snmp</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=96 as service=radius</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=15 as service=dns</p>

<p class="MsoNormal">Mar
23 15:42:36 (none) snort[4648]: fpBuildServicePortGroups: adding
protocol-ordinal=86 as service=sunrpc</p>

<p class="MsoNormal">Thanks,</p>

<p class="MsoNormal">Andy
Berryman</p>

</div>

<div class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 7.5pt;">

<hr align="center" width="100%" size="2">

</span></div>

<div>

<p class="MsoNormal"><span style="font-size: 7.5pt;">This
message from Cymtec Systems, Inc. contains confidential information and is
solely for the use of the recipient(s) named above. If you are not the intended
recipient or an agent responsible for delivering it to the intended recipient,
you are hereby notified that you have received this message in error and that
any review, disclosure, copying, distribution or use of the contents of this
message is strictly prohibited. If you have received this message in error,
please destroy it immediately and notify Cymtec Systems, Inc. by telephone at
+1.314.993.8700 or by return e-mail.</span></p>

</div>

<div>

<div class="MsoNormal" style="text-align: center;" align="center"><span style="font-size: 7.5pt;">

<hr align="center" width="100%" size="2">

</span></div>

</div>

</div>

<p class="MsoNormal"><br>
------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0d%0aSnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></p>

</div>

<p class="MsoNormal" style="margin-bottom: 12pt;"><br>
<br clear="all">
<br>
-- </p>

</div></div></div><div><div></div><div class="h5">


<font face="Arial" size="1">
<hr>
</font>
<div><font face="Arial" size="1">This message from Cymtec Systems, Inc. contains 
confidential information and is solely for the use of the recipient(s) named 
above. If you are not the intended recipient or an agent responsible for 
delivering it to the intended recipient, you are hereby notified that you have 
received this message in error and that any review, disclosure, copying, 
distribution or use of the contents of this message is strictly prohibited. If 
you have received this message in error, please destroy it immediately and 
notify Cymtec Systems, Inc. by telephone at +1.314.993.8700 or by return 
e-mail.</font></div>
<div><font face="Arial" size="1">
<hr>
 </font></div>
</div></div></div>


<br>------------------------------------------------------------------------------<br>
Download Intel&#174; Parallel Studio Eval<br>
Try the new software tools for yourself. Speed compiling, find bugs<br>
proactively, and fine-tune applications for parallel performance.<br>
See why Intel Parallel Studio got high marks during beta.<br>
<a href="http://p.sf.net/sfu/intel-sw-dev" target="_blank">http://p.sf.net/sfu/intel-sw-dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users%0ASnort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users<br>
Snort-users</a> list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br>