<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18928">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT size=2 face=Arial>JJ,</FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT> </DIV>
<DIV><FONT size=2 face=Arial>The sid-msg.map is the one downloaded with new 
rules, don't they update that file?</FONT></DIV>
<DIV><FONT size=2 face=Arial></FONT> </DIV>
<DIV><FONT size=2 face=Arial>Thanks,</FONT></DIV>
<DIV><FONT size=2 face=Arial>Larry</FONT></DIV>
<DIV> </DIV>
<BLOCKQUOTE 
style="BORDER-LEFT: #000000 2px solid; PADDING-LEFT: 5px; PADDING-RIGHT: 0px; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px" 
dir=ltr>
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="FONT: 10pt arial; BACKGROUND: #e4e4e4; font-color: black"><B>From:</B> 
  <A title=cummingsj@...11827... href="mailto:cummingsj@...11827...">JJC</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A title=lhughes@...14822... 
  href="mailto:lhughes@...14822...">Lawrence R. Hughes, Sr.</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Cc:</B> <A 
  title=snort-users@lists.sourceforge.net 
  href="mailto:snort-users@lists.sourceforge.net">snort-users@...635...eforge.net</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, August 27, 2010 10:32 
  AM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [Snort-users] snort 2.8.6.1 
  / barnyard2 2-1.8 (unified2) problem</DIV>
  <DIV><BR></DIV>You need to update your sid-msg map so that it has all of the 
  meta information for those SIDs.  You then need to (re)start barnyard2 so 
  that it inserts the correct information from that point forward.  Of 
  course that doesn't fix the existing data in the database.  To fix that 
  you will need to either built a tool that will go back and update the entries 
  with the meta information or you will want to delete the data and restart 
  barnyard2 telling it to read and insert the old unified data.
  <DIV><BR></DIV>
  <DIV>JJC<BR><BR>
  <DIV class=gmail_quote>On Fri, Aug 27, 2010 at 7:54 AM, Lawrence R. Hughes, 
  Sr. <SPAN dir=ltr><<A 
  href="mailto:lhughes@...14822...">lhughes@...14822...</A>></SPAN> 
  wrote:<BR>
  <BLOCKQUOTE 
  style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
  class=gmail_quote>
    <DIV bgcolor="#ffffff">
    <DIV><FONT size=2 face=Arial>Hi,</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>Found a problem where the following was 
    returned from the snort.signature table for the following 
query:</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>SELECT sig_id,sig_name FROM snort.signature 
    WHERE sig_name like 'snort%';</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>'969', 'Snort Alert [138:2:0]'<BR>'443', 'Snort 
    Alert [138:4:0]'<BR>'1181', 'Snort Alert [1:13974:0]'<BR>'1163', 'Snort 
    Alert [1:14782:0]'<BR>'1251', 'Snort Alert [1:15114:0]'<BR>'1160', 'Snort 
    Alert [1:16180:0]'<BR>'402', 'Snort Alert [1:2402000:0]'<BR>'420', 'Snort 
    Alert [1:2402001:0]'<BR>'499', 'Snort Alert [1:2402000:0]'<BR>'549', 'Snort 
    Alert [1:2402001:0]'<BR>'504', 'Snort Alert [1:2406085:0]'<BR>'531', 'Snort 
    Alert [1:2406097:0]'<BR>'558', 'Snort Alert [1:2406011:0]'<BR>'628', 'Snort 
    Alert [1:2406063:0]'<BR>'676', 'Snort Alert [1:2406010:0]'<BR>'498', 'Snort 
    Alert [1:2406181:0]'<BR>'505', 'Snort Alert [1:2406189:0]'<BR>'601', 'Snort 
    Alert [1:2406146:0]'<BR>'622', 'Snort Alert [1:2406144:0]'<BR>'625', 'Snort 
    Alert [1:2406183:0]'<BR>'433', 'Snort Alert [1:2406242:0]'<BR>'529', 'Snort 
    Alert [1:2406237:0]'<BR>'544', 'Snort Alert [1:2406281:0]'<BR>'576', 'Snort 
    Alert [1:2406207:0]'<BR>'617', 'Snort Alert [1:2406260:0]'<BR>'666', 'Snort 
    Alert [1:2406245:0]'<BR>'555', 'Snort Alert [1:2406361:0]'<BR>'564', 'Snort 
    Alert [1:2406391:0]'<BR>'501', 'Snort Alert [1:2406493:0]'<BR>'568', 'Snort 
    Alert [1:2406463:0]'<BR>'623', 'Snort Alert [1:2406418:0]'<BR>'624', 'Snort 
    Alert [1:2406492:0]'<BR>'641', 'Snort Alert [1:2406489:0]'<BR>'503', 'Snort 
    Alert [1:2406569:0]'<BR>'554', 'Snort Alert [1:2406595:0]'<BR>'570', 'Snort 
    Alert [1:2406503:0]'<BR>'619', 'Snort Alert [1:2406542:0]'<BR>'643', 'Snort 
    Alert [1:2406584:0]'<BR>'649', 'Snort Alert [1:2406594:0]'<BR>'661', 'Snort 
    Alert [1:2406564:0]'<BR>'414', 'Snort Alert [1:2406649:0]'<BR>'415', 'Snort 
    Alert [1:2406648:0]'<BR>'479', 'Snort Alert [1:2406614:0]'<BR>'516', 'Snort 
    Alert [1:2406621:0]'<BR>'543', 'Snort Alert [1:2406608:0]'<BR>'574', 'Snort 
    Alert [1:2406623:0]'<BR>'629', 'Snort Alert [1:2406641:0]'<BR>'630', 'Snort 
    Alert [1:2406640:0]'<BR>'644', 'Snort Alert [1:2406612:0]'<BR>'668', 'Snort 
    Alert [1:2406606:0]'<BR>'432', 'Snort Alert [1:2500036:0]'<BR>'435', 'Snort 
    Alert [1:2500004:0]'<BR>'472', 'Snort Alert [1:2500024:0]'<BR>'473', 'Snort 
    Alert [1:2500016:0]'<BR>'474', 'Snort Alert [1:2500030:0]'<BR>'494', 'Snort 
    Alert [1:2500020:0]'<BR>'495', 'Snort Alert [1:2500098:0]'<BR>'552', 'Snort 
    Alert [1:2500088:0]'<BR>'553', 'Snort Alert [1:2500099:0]'<BR>'559', 'Snort 
    Alert [1:2500071:0]'<BR>'565', 'Snort Alert [1:2500077:0]'<BR>'566', 'Snort 
    Alert [1:2500002:0]'<BR>'567', 'Snort Alert [1:2500063:0]'<BR>'581', 'Snort 
    Alert [1:2500024:0]'<BR>'590', 'Snort Alert [1:2500008:0]'<BR>'616', 'Snort 
    Alert [1:2500004:0]'<BR>'618', 'Snort Alert [1:2500022:0]'<BR>'652', 'Snort 
    Alert [1:2500020:0]'<BR>'662', 'Snort Alert [1:2500016:0]'<BR>'667', 'Snort 
    Alert [1:2500042:0]'<BR>'677', 'Snort Alert [1:2500030:0]'<BR>'416', 'Snort 
    Alert [1:2500174:0]'<BR>'417', 'Snort Alert [1:2500135:0]'<BR>'477', 'Snort 
    Alert [1:2500142:0]'<BR>'481', 'Snort Alert [1:2500124:0]'<BR>'483', 'Snort 
    Alert [1:2500118:0]'<BR>'492', 'Snort Alert [1:2500100:0]'<BR>'493', 'Snort 
    Alert [1:2500126:0]'<BR>'533', 'Snort Alert [1:2500150:0]'<BR>'550', 'Snort 
    Alert [1:2500148:0]'<BR>'556', 'Snort Alert [1:2500168:0]'<BR>'571', 'Snort 
    Alert [1:2500126:0]'<BR>'572', 'Snort Alert [1:2500182:0]'<BR>'573', 'Snort 
    Alert [1:2500139:0]'<BR>'575', 'Snort Alert [1:2500154:0]'<BR>'586', 'Snort 
    Alert [1:2500170:0]'<BR>'591', 'Snort Alert [1:2500162:0]'<BR>'592', 'Snort 
    Alert [1:2500114:0]'<BR>'595', 'Snort Alert [1:2500106:0]'<BR>'596', 'Snort 
    Alert [1:2500122:0]'<BR>'597', 'Snort Alert [1:2500176:0]'<BR>'609', 'Snort 
    Alert [1:2500108:0]'<BR>'613', 'Snort Alert [1:2500104:0]'<BR>'614', 'Snort 
    Alert [1:2500130:0]'<BR>'627', 'Snort Alert [1:2500166:0]'<BR>'632', 'Snort 
    Alert [1:2500128:0]'<BR>'633', 'Snort Alert [1:2500102:0]'<BR>'634', 'Snort 
    Alert [1:2500102:0]'<BR>'635', 'Snort Alert [1:2500120:0]'<BR>'639', 'Snort 
    Alert [1:2500164:0]'<BR>'646', 'Snort Alert [1:2500110:0]'<BR>'475', 'Snort 
    Alert [1:2500245:0]'<BR>'478', 'Snort Alert [1:2500266:0]'<BR>'496', 'Snort 
    Alert [1:2500218:0]'<BR>'557', 'Snort Alert [1:2500211:0]'<BR>'594', 'Snort 
    Alert [1:2500272:0]'<BR>'637', 'Snort Alert [1:2500232:0]'<BR>'638', 'Snort 
    Alert [1:2500232:0]'<BR>'664', 'Snort Alert [1:2500208:0]'<BR>'665', 'Snort 
    Alert [1:2500210:0]'<BR>'534', 'Snort Alert [1:2520138:0]'<BR>'377', 'Snort 
    Alert [1:66666:0]'<BR><BR>Barnyard2 is suppose to insert signature names 
    like "<FONT size=3 face="Times New Roman">NETBIOS DCERPC NCACN-IP-TCP srvsvc 
    NetrPathCanonicalize overflow attempt" <FONT size=2 
    face=Arial>into</FONT></FONT> sig_name of the snort.signature table 
    correct?</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>So what happened? </FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>Better yet, how do we clean this mess 
    up?</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>We think Barnyard2 is not at fault, and  
    the snort sid-msg.map and rules are the problem.</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>Are we thinking in the correct 
    direction?</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>Thanks,</FONT></DIV>
    <DIV><FONT size=2 face=Arial>Larry</FONT></DIV>
    <DIV><FONT size=2 
    face=Arial></FONT> </DIV></DIV><BR>------------------------------------------------------------------------------<BR>Sell 
    apps to millions through the Intel(R) Atom(Tm) Developer Program<BR>Be part 
    of this innovative community and reach millions of netbook 
    users<BR>worldwide. Take advantage of special opportunities to increase 
    revenue and<BR>speed time-to-market. Join now, and jumpstart your 
    future.<BR><A href="http://p.sf.net/sfu/intel-atom-d2d" 
    target=_blank>http://p.sf.net/sfu/intel-atom-d2d</A><BR>_______________________________________________<BR>Snort-users 
    mailing list<BR><A 
    href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...974...rceforge.net</A><BR>Go 
    to this URL to change user options or unsubscribe:<BR><A 
    href="https://lists.sourceforge.net/lists/listinfo/snort-users" 
    target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users 
    list archive:<BR><A 
    href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
    target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR></BLOCKQUOTE></DIV><BR></DIV></BLOCKQUOTE></BODY></HTML>