That's what flowbits are for. See here: 
<a href="http://manual.snort.org/node32.html#SECTION004610000000000000000">http://manual.snort.org/node32.html#SECTION004610000000000000000</a> <br><br><div class="gmail_quote">On Wed, Dec 28, 2011 at 6:33 AM, Thibault SOC <span dir="ltr"><<a href="mailto:thibaultsoc@...11827...">thibaultsoc@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br><br>I would like to know if snort can handle the response packets from an attack? As exemple for a web attack :<br>
<br>If a "XSS attempt" rule match, i want to get another snort alarm based on HTTP response code like "200 OK", "403 Forbidden", "404 Not found" linked to the first alarm (XSS).<br>

<br>I don't want to create a "200 OK" rule because it will match all web trafic; but I want to create a rule that will only match traffic/response regarding the attack.<br><br>This 2nd alarm can help me to see if the attack is a success or not in my SIEM (with correlation rules).<br>

<br>Thanks for help/feedbacks,<br><font color="#888888"><br>Thibault.<br>
</font><br>------------------------------------------------------------------------------<br>
Write once. Port to many.<br>
Get the SDK and tools to simplify cross-platform app development. Create<br>
new or port existing apps to sell to consumers worldwide. Explore the<br>
Intel AppUpSM program developer opportunity. <a href="http://appdeveloper.intel.com/join" target="_blank">appdeveloper.intel.com/join</a><br>
<a href="http://p.sf.net/sfu/intel-appdev" target="_blank">http://p.sf.net/sfu/intel-appdev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br><br clear="all"><div><br></div>-- <br>Alex Kirk<br>AEGIS Program Lead<br>
Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...1935...">alex.kirk@...1935...</a><br>