<html><head><base href="x-msg://488/"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Okay, so you aren't saying they are falsing, you are saying that the rules aren't dropping the traffic?<div><br></div><div><br><div><div>On Jun 4, 2010, at 4:00 PM, Lawrence R. Hughes, Sr. wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="border-collapse: separate; font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div bgcolor="#ffffff" style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><font face="Arial" size="2">Joel,</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">Thanks for the quick reply...</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">Although they are drop rules, the clients in both cases connect, allow searches and downloads.</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">We do not use pcap, we thought that snort's coverage was enough.</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">Our main concern is about the RIAA...</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">Thanks,</font></div><div><font face="Arial" size="2">Larry</font></div><div> </div><blockquote dir="ltr" style="padding-right: 0px; padding-left: 5px; margin-left: 5px; border-left-color: rgb(0, 0, 0); border-left-width: 2px; border-left-style: solid; margin-right: 0px; "><div style="font: normal normal normal 10pt/normal arial; ">----- Original Message -----</div><div style="background-image: initial; background-repeat: initial; background-attachment: initial; -webkit-background-clip: initial; -webkit-background-origin: initial; background-color: rgb(228, 228, 228); font: normal normal normal 10pt/normal arial; background-position: initial initial; "><b>From:</b><span class="Apple-converted-space"> </span><a title="jesler@...1935..." href="mailto:jesler@...1935...">Joel Esler</a></div><div style="font: normal normal normal 10pt/normal arial; "><b>To:</b><span class="Apple-converted-space"> </span><a title="lhughes@...14822..." href="mailto:lhughes@...14822...">Lawrence R. Hughes, Sr.</a></div><div style="font: normal normal normal 10pt/normal arial; "><b>Sent:</b><span class="Apple-converted-space"> </span>Friday, June 04, 2010 3:55 PM</div><div style="font: normal normal normal 10pt/normal arial; "><b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Snort-users] false positive rules in snort 2.8.6.0</div><div><br></div>What are they falsing on?  Do you have a pcap?<div><br></div><div>J</div><div><br><div><div>On Jun 4, 2010, at 3:50 PM, Lawrence R. Hughes, Sr. wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><span class="Apple-style-span" style="word-spacing: 0px; font: normal normal normal medium/normal Helvetica; text-transform: none; text-indent: 0px; white-space: normal; letter-spacing: normal; border-collapse: separate; orphans: 2; widows: 2; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div bgcolor="#ffffff"><div><font face="Arial" size="2">Hi All,</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">The following two (2) rules in p2p.rules are false positives... Be aware of the RIAA</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">drop tcp $HOME_NET 4711 -> $EXTERNAL_NET any (msg:"P2P eDonkey server response"<br> flow:established,from_server; content:"Server|3A| eMule";<br> fast_pattern:only; metadata:policy security-ips drop;<br> reference:url,<a href="http://www.emule-project.net">www.emule-project.net</a>; classtype:policy-violation;<br> sid:2587; rev:4;)<br></font></div><div><font face="Arial" size="2">drop udp $HOME_NET any -> $EXTERNAL_NET 41170<br>(msg:"P2P Manolito Search Query"; flow:to_server; content:"|01 02 00 14|";<br> depth:4; offset:16; metadata:policy security-ips drop;<br> reference:url,<a href="http://openlito.sourceforge.net">openlito.sourceforge.net</a>; reference:url,<a href="http://www.blubster.com">www.blubster.com</a>;<br> classtype:policy-violation; sid:3459; rev:5;)</font></div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2">Thanks,</font></div><div><font face="Arial" size="2">Larry</font></div><div> </div><div><font face="Arial" size="2"></font> </div><div><font face="Arial" size="2"></font> </div><font face="Arial" size="2"><div><br></div></font>------------------------------------------------------------------------------<br>ThinkGeek and WIRED's GeekDad team up for the Ultimate<span class="Apple-converted-space"> </span><br>GeekDad Father's Day Giveaway. ONE MASSIVE PRIZE to the<span class="Apple-converted-space"> </span><br>lucky parental unit.  See the prize list and enter to win:<span class="Apple-converted-space"> </span><br><a href="http://p.sf.net/sfu/thinkgeek-promo_______________________________________________">http://p.sf.net/sfu/thinkgeek-promo_______________________________________________</a><br>Snort-users mailing list<br><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div></span></blockquote></div><br><div><span class="Apple-style-span" style="word-spacing: 0px; font: normal normal normal medium/normal Helvetica; text-transform: none; text-indent: 0px; white-space: normal; letter-spacing: normal; border-collapse: separate; orphans: 2; widows: 2; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><span class="Apple-style-span" style="word-spacing: 0px; font: normal normal normal medium/normal Helvetica; text-transform: none; text-indent: 0px; white-space: normal; letter-spacing: normal; border-collapse: separate; orphans: 2; widows: 2; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="word-spacing: 0px; font: normal normal normal medium/normal Helvetica; text-transform: none; text-indent: 0px; white-space: normal; letter-spacing: normal; border-collapse: separate; orphans: 2; widows: 2; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">--</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Joel Esler<br>302-223-5974</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Jabber:<span class="Apple-converted-space"> </span><a href="mailto:jesler@...1935...">jesler@...1935...</a></div></span></div></span></span></div><br></div></blockquote></div></span><br class="Apple-interchange-newline"></blockquote></div><br><div>
<span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><span class="Apple-style-span" style="border-collapse: separate; color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; "><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">--</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Joel Esler<br>302-223-5974</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Jabber: <a href="mailto:jesler@...979...1935...">jesler@...1935...</a></div></span></div></span></span>
</div>
<br></div></body></html>