<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#ffffff">
    this is why its so confusing.  and, I don't think this really
    works.  I have tried, several times over the years, and gave up long
    ago on so_rules.<br>
    <br>
    on the web site, it says: (is this wrong?)<br>
    <br>
    <h3>Using VRT Certified Shared Object Rules</h3>
    <p>In order to instantiate shared object rules, a rule stub file is
      required. These stub files are not distributed in the VRT
      Certified rule packs, however they can be generated using snort.</p>
    <p>
    </p>
    <p>Here is an example showing the pertinent configuration options in
      snort.conf along with the command line option required to generate
      the stub files. In some installations, the files may well reside
      in /etc/, this example uses /usr/local/etc as the location for the
      configuration files.</p>
    In snort.conf
    First set up some global variables:
    <pre>var CONF_PATH /usr/local/etc/snort
var LIB_PATH /usr/local/lib
var SORULE_PATH $CONF_PATH/so_rules
</pre>
    <br>
    <p>Dynamic preprocessor and dynamic engine information:</p>
    <pre>dynamicpreprocessor directory $LIB_PATH/snort_dynamicpreprocessor
dynamicengine $LIB_PATH/snort_dynamicengine/libsf_engine.so
</pre>
    <br>
    <p>Here is the configuration option that lists the location of the
      shared object files that snort is to use:</p>
    <p>
    </p>
    <pre>dynamicdetection directory $LIB_PATH/snort_dynamicrule
</pre>
    <br>
    <h3>Dumping the rules</h3>
    <p>To dump the rule stub files into the required location the
      --dump-dynamic-rules option is used like so:</p>
    <pre>snort -c /usr/local/etc/snort/snort.conf --dump-dynamic-rules=/usr/local/etc/snort/so_rules</pre>
    <br>
    <p>This command tells snort to use the snort.conf file where it will
      find the dynamic rule files (thanks to the configuration options
      above) and then use those files to generate the stub files and put
      them into /usr/local/etc/snort/so_rules/</p>
    <p>After this is complete, the rule files appear in the directory.</p>
    <pre># ls /usr/local/etc/snort/so_rules/
bad-traffic.rules  imap.rules        nntp.rules  web-client.rules
chat.rules         misc.rules        p2p.rules   web-misc.rules
dos.rules          multimedia.rules  smtp.rules
exploit.rules      netbios.rules     sql.rules
</pre>
    <br>
    <br>
    <br>
    I do that, and this happens:<br>
    <br>
    scanner2.secnap.com# snort -c /usr/local/etc/snort/snort.conf
    --dump-dynamic-rules=/usr/local/etc/snort/so_rules<br>
    Running in Rule Dump mode<br>
    <br>
            --== Initializing Snort ==--<br>
    Initializing Output Plugins!<br>
    Initializing Preprocessors!<br>
    Initializing Plug-ins!<br>
    Parsing Rules file "/usr/local/etc/snort/snort.conf"<br>
    <br>
    [snip]<br>
    WARNING: ip4 normalizations disabled because not inlineWARNING: tcp
    normalizations disabled because not inlineWARNING: icmp4
    normalizations disabled because not inlineFrag3 global config:<br>
    [snip]<br>
    <br>
    Dumping dynamic rules...<br>
      Finished dumping dynamic rules.<br>
    Snort exiting<br>
    <br>
    scanner2.secnap.com# pwd<br>
    /usr/local/etc/snort<br>
    <br>
    cd /usr/local/etc/snort/so_rules<br>
    <br>
    scanner2.secnap.com# ls<br>
    <br>
    cd /usr/local/etc/snort/so_rules<br>
    /usr/local/etc/snort/so_rules: No such file or directory.<br>
    scanner2.secnap.com# mkdir /usr/local/etc/snort/so_rules<br>
    scanner2.secnap.com# snort -c /usr/local/etc/snort/snort.conf
    --dump-dynamic-rules=/usr/local/etc/snort/so_rules<br>
    Running in Rule Dump mode<br>
    <br>
    still nothing there.<br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Michael Scheidell, CTO<br>
      o: 561-999-5000<br>
      d: 561-948-2259<br>
      ISN: 1259*1300<br>
      <font color="#999999">></font><font color="#cc0000"> <b>| </b></font>SECNAP
      Network Security Corporation
      <style type="text/css">
<!--
.unnamed1 {
        margin: 1em;
        padding: 1px;
} -->
</style>
      <ul class="unnamed1">
        <li>Certified SNORT Integrator</li>
        <li>2008-9 Hot Company Award Winner, World Executive Alliance</li>
        <li>Five-Star Partner Program 2009, VARBusiness</li>
        <li>Best in Email Security,2010: Network Products Guide</li>
        <li>King of Spam Filters, SC Magazine 2008</li>
      </ul>
    </div>
  
<br>
<div id="disclaimer.secnap.com"><hr />
<p>This email has been scanned and certified safe by SpammerTrap®.
<br />For Information please see
<a href="http://www.secnap.com/products/spammertrap/">http://www.secnap.com/products/spammertrap/</a></p> <hr /></div>
<br>
</body>
</html>