This is most likely an issue with your server_flow_depth variable, which controls the amount of payload being returned from a web server that is inspected by Snort. By default, it's set to 300 bytes - generally enough to get the HTTP headers and not a great deal else. You can up the value as desired, including setting it to 0 if you want to inspect everything that's returned from a web server. Note that, if you do and you're on a busy network, you may see some performance issues - HTTP traffic is generally around 90% of what you get on a standard Internet connection, and what comes down from servers is generally 90% or so of that traffic. Of course, if you're a home user or a SMB, you'll probably be fine, assuming you're running on a decent, modern box.<br>
<br><div class="gmail_quote">On Sun, Nov 21, 2010 at 11:57 PM, Sujit Ghosal <span dir="ltr"><<a href="mailto:thesujit@...11827...">thesujit@...843.....11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
Below is my snort rule:<br>alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"HTTP Test Rule"; flow:established,to_client; content:"html"; nocase; classtype:web-application-attack; reference:url,<a href="http://www.exploit-db.com/exploits/999999" target="_blank">www.exploit-db.com/exploits/999999</a>; sid:9000; rev:1;)<br>


<br>And this is my snort.conf file entries: <a href="http://vim.pastey.net/143149" target="_blank">http://vim.pastey.net/143149</a><br><font color="#888888"><br>- Sujit</font><div><div></div><div class="h5"><br><br><div class="gmail_quote">
On Mon, Nov 22, 2010 at 6:43 AM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204, 204, 204);padding-left:1ex"><div>On 11/21/2010 13:59, Sujit Ghosal wrote:<br>
> Hey Guys,<br>
>      I have installed Snort v2.8.x in FC-13//Ubuntu v10.10 and everything got<br>
> installed/configured (installed through Redhat Package Manager//Synaptic Package<br>
> Manager) successfully. But while writing a rule to detect a simple pattern<br>
> inside HTML body, snort is failing to do so! If I check for the HTTP MIME<br>
> headers only i.e. "Content-Type:", "Via:" etc. then snort detects those patterns<br>
> flawlessly. Even I wrote a simple rule to detect GET requests over $HTTP_PORTS<br>
> and its working fine.<br>
<br>
</div>can you post the rule that you have that is not working??<br>
<div><br>
> But while it comes to check for the contents inside the HTML body (client side<br>
> web pages) entity then snort is not even detecting a single <html> tag. I guess,<br>
> its an issue with any preprocessors, but I have no idea that which preprocessor<br>
> could be creating such issues.<br>
<br>
</div>we might need to see your snort.conf file, too... but let's look at your rule<br>
first ;)<br>
<div><br>
> I am fully stuck in that place and not able to figure out that how I should fix<br>
> this silly problem.<br>
><br>
> Please help. Any help would be more appreciated.<br>
<br>
</div>we will do what we can :)<br>
<br>
------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today<br>
<a href="http://p.sf.net/sfu/msIE9-sfdev2dev" target="_blank">http://p.sf.net/sfu/msIE9-sfdev2dev</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
</blockquote></div><br>
</div></div><br>------------------------------------------------------------------------------<br>
Beautiful is writing same markup. Internet Explorer 9 supports<br>
standards for HTML5, CSS3, SVG 1.1,  ECMAScript5, and DOM L2 & L3.<br>
Spend less time writing and  rewriting code and more time creating great<br>
experiences on the web. Be a part of the beta today<br>
<a href="http://p.sf.net/sfu/msIE9-sfdev2dev" target="_blank">http://p.sf.net/sfu/msIE9-sfdev2dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br></blockquote></div><br><br clear="all"><br>-- <br>Alex Kirk<br>AEGIS Program Lead<br>
Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...1935...">alex.kirk@...1935...</a><br>