<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; "><div>What the….I looked all through the snort pdf too and since I didn't see an example showing that I uh…well assumed…..heh..you've saved me a BUNCH of time..thanks Scott.</div><div><br></div><div>Jam</div><div><br></div><span id="OLK_SRC_BODY_SECTION"><div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt"><span style="font-weight:bold">From: </span> ScottO <<a href="mailto:skippylou@...11827...">skippylou@...11827...</a>><br><span style="font-weight:bold">Date: </span> Fri, 8 Oct 2010 08:31:57 -0400<br><span style="font-weight:bold">To: </span> James Lay <<a href="mailto:jlay@...13475...">jlay@...13475...</a>><br><span style="font-weight:bold">Cc: </span> Snort <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@...3204...ts.sourceforge.net</a>><br><span style="font-weight:bold">Subject: </span> Re: [Snort-users] Fine tuning Snort<br></div><div><br></div>James,<br><br>You can specify cidr notation for address blocks in threshold.conf, something like:<br><br>suppress gen_id 1, sig_id 11111, track by_src, ip <a href="http://10.1.2.0/24">10.1.2.0/24</a><br><br>Hope that helps,<br><br>scott<br><br><div class="gmail_quote">On Fri, Oct 8, 2010 at 8:24 AM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475...">jlay@...13810...5...</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Thanks Waldo,<br><br>
It's been quite interesting...I have at least four rules that look for<br>
executables...and as I look at the threshold file I can only threshold<br>
against one IP at a time...meaning I've got a lot of work to do as I have<br>
to add pretty much most of google and <a href="http://windowsupdate.com" target="_blank">windowsupdate.com</a> ;)  Even thought<br>
I'm tempted to simply start snort to not monitor those netblocks, eh...I'd<br>
rather do the right thing.<br><br>
Thanks again for the help.<br><br>
James<br><div class="im"><br><br>
On 10/7/10 10:23 PM, "waldo kitty" <<a href="mailto:wkitty42@...14992.....">wkitty42@...14940...</a>> wrote:<br><br>
>On 10/7/2010 14:02, James Lay wrote:<br></div>>> Kevin and Waldo, you gents are treasuresİI will get to work and report<br>
>>my<br>
>> resultsİthank you much!<br><div><div></div><div class="h5">><br>
>something else to thing about concerning rules that you would just<br>
>totally<br>
>suppress in threshold.conf... if they are completely suppressed then you<br>
>might<br>
>as well comment them out of the rules set so they do not consume any<br>
>memory and<br>
>snort won't waste any time loading them just to be ignoring them... but i<br>
>guess<br>
>this also depends on your tools and management systems... some may use<br>
>only<br>
>threshold to "disable" rules where others may actually comment them in<br>
>the rules<br>
>sets files... personally, i think the threshold file is best to suppress<br>
>certain<br>
>rules for certain IPs... total suppression is the same as disabled so...<br>
>;)<br>
><br>
>--------------------------------------------------------------------------<br>
>----<br>
>Beautiful is writing same markup. Internet Explorer 9 supports<br>
>standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
>Spend less time writing and  rewriting code and more time creating great<br>
>experiences on the web. Be a part of the beta today.<br>
><a href="http://p.sf.net/sfu/beautyoftheweb" target="_blank">http://p.sf.net/sfu/beautyoftheweb</a><br>
>_______________________________________________<br>
>Snort-users mailing list<br>
><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...8192...sourceforge.net</a><br>
>Go to this URL to change user options or unsubscribe:<br>
><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>>Snort-users list archive:<br>
><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br><br><br><br>
------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today.<br><a href="http://p.sf.net/sfu/beautyoftheweb" target="_blank">http://p.sf.net/sfu/beautyoftheweb</a><br>
_______________________________________________<br>
Snort-users mailing list<br><a href="mailto:Snort-users@...5870....net">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></div></div></blockquote></div><br>
------------------------------------------------------------------------------
Beautiful is writing same markup. Internet Explorer 9 supports
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.
Spend less time writing and  rewriting code and more time creating great
experiences on the web. Be a part of the beta today.
<a href="http://p.sf.net/sfu/beautyoftheweb_______________________________________________">http://p.sf.net/sfu/beautyoftheweb_______________________________________________</a>
Snort-users mailing list
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a>
Go to this URL to change user options or unsubscribe:
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
Snort-users list archive:
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></span></body></html>