Hi,<br><br>Yes it does exactly what i want. thanks for help.<br><br>Thibault<br><br><div class="gmail_quote">2011/12/28 Alex Kirk <span dir="ltr"><<a href="mailto:akirk@...1935...">akirk@...1935...</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That's what flowbits are for. See here: 
<a href="http://manual.snort.org/node32.html#SECTION004610000000000000000" target="_blank">http://manual.snort.org/node32.html#SECTION004610000000000000000</a> <br><br><div class="gmail_quote"><div><div></div><div class="h5">
On Wed, Dec 28, 2011 at 6:33 AM, Thibault SOC <span dir="ltr"><<a href="mailto:thibaultsoc@...11827..." target="_blank">thibaultsoc@...14459.....</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div></div><div class="h5">Hi,<br><br>I would like to know if snort can handle the response packets from an attack? As exemple for a web attack :<br>

<br>If a "XSS attempt" rule match, i want to get another snort alarm based on HTTP response code like "200 OK", "403 Forbidden", "404 Not found" linked to the first alarm (XSS).<br>


<br>I don't want to create a "200 OK" rule because it will match all web trafic; but I want to create a rule that will only match traffic/response regarding the attack.<br><br>This 2nd alarm can help me to see if the attack is a success or not in my SIEM (with correlation rules).<br>


<br>Thanks for help/feedbacks,<br><font color="#888888"><br>Thibault.<br>
</font><br></div></div>------------------------------------------------------------------------------<br>
Write once. Port to many.<br>
Get the SDK and tools to simplify cross-platform app development. Create<br>
new or port existing apps to sell to consumers worldwide. Explore the<br>
Intel AppUpSM program developer opportunity. <a href="http://appdeveloper.intel.com/join" target="_blank">appdeveloper.intel.com/join</a><br>
<a href="http://p.sf.net/sfu/intel-appdev" target="_blank">http://p.sf.net/sfu/intel-appdev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><font color="#888888"><br><br clear="all"><div><br></div>-- <br>Alex Kirk<br>
AEGIS Program Lead<br>
Sourcefire Vulnerability Research Team<br><a href="tel:%2B1-410-423-1937" value="+14104231937" target="_blank">+1-410-423-1937</a><br><a href="mailto:alex.kirk@...1935..." target="_blank">alex.kirk@...1935...</a><br>

</font></blockquote></div><br>