You can suppress the alerting and not affect the normalization (the important part) of the http_inspect preprocessor by commenting out the rules in the preprocessor.rules file. <br><br>Or you can suppress the output in threshold.conf with something like:<br>
suppress gen_id 119, sig_id 13<br><br>The first option is what I would recommend.<br><br clear="all">Alex Tatistcheff<br><a href="mailto:alext@...979...492..." target="_blank">alext@...492...</a><br><br>The most terrifying words in the English language are, "I'm from the government and I'm here to help." -Ronald Reagan<br>

<br><br><div class="gmail_quote">On Wed, Sep 22, 2010 at 1:01 PM, Greg Lane <span dir="ltr"><<a href="mailto:greglane@...14965...">greglane@...843.....14965...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Well there are 3 types of http_inspects that I am getting mainly. †http_inspect: LONG HEADER, http_inspect: NON-RFC DEFINED CHAR, http_inspect: OVERSIZE REQUEST-URI DIRECTORY.<br>
Everyone of the sources are from inside my network. †Many of them are to amazon EC, <a href="http://quantserve.com" target="_blank">quantserve.com</a>(cookie related), yahoo, google, facebook, and Pandora. †So you can see that most of the traffic is legit and it isn't being triggered from outside the domain. †I'm just not sure how to cut down on the number of alerts. †When I get that done I will move on to the next but I am trying to do this in steps so that I can understand everything that is going on<br>

<div class="im"><br>
Greg Lane<br>
IT Manager<br>
Lane Enterprises<br>
<br>
Email: †<a href="mailto:greglane@...14965...">greglane@...14965...</a><br>
Phone: (228)872-2414<br>
<br>
</div><div><div></div><div class="h5">-----Original Message-----<br>
From: waldo kitty [mailto:<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>]<br>
Sent: Wednesday, September 22, 2010 1:21 PM<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
Subject: Re: [Snort-users] Snort Configurations<br>
<br>
On 9/22/2010 12:39, Greg Lane wrote:<br>
> Iím starting to learn how to tune my Snort install and it is a slow process. †I<br>
> have alerts like crazy because I know it needs to be tuned and I especially have<br>
> a lot of http_inspect alerts coming up. Iíve been reading and from what I can<br>
> gather if you donít have a websever you may not really need this in operation or<br>
> am I wrong?<br>
<br>
the answer is "it depends"... it depends on if you want to monitor outbound http<br>
traffic to possibly catch infestations on your network that are reporting in or<br>
attacking remote http servers... you might also catch (and be able to prevent)<br>
internal machines that are being redirected to driveby sites that would (attempt<br>
to) load them with infestation materials...<br>
<br>
> If I am wrong then what is the best possible solution for me to cut<br>
> down most of the alerts which are false positives so to speak or arenít<br>
> dangerous at all? This will probably be one of many questions concerning configs<br>
> coming to an email box near you.<br>
<br>
false positives need to be reported to those who write those rules so they can<br>
be looked into and adjusted if necessary...<br>
<br>
<br>
------------------------------------------------------------------------------<br>
Start uncovering the many advantages of virtual appliances<br>
and start using them to simplify application deployment and<br>
accelerate your shift to cloud computing.<br>
<a href="http://p.sf.net/sfu/novell-sfdev2dev" target="_blank">http://p.sf.net/sfu/novell-sfdev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
<br>
------------------------------------------------------------------------------<br>
Start uncovering the many advantages of virtual appliances<br>
and start using them to simplify application deployment and<br>
accelerate your shift to cloud computing.<br>
<a href="http://p.sf.net/sfu/novell-sfdev2dev" target="_blank">http://p.sf.net/sfu/novell-sfdev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></div></div></blockquote></div><br>