<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=us-ascii" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.19154"></HEAD>
<BODY>
<DIV><FONT color=#800000 face="Siemens Serif Semibold">
<DIV><SPAN class=287343719-08022012>Hello Snort-Users!</SPAN></DIV>
<DIV><SPAN class=287343719-08022012></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><SPAN 
class=444342722-08022012> (Apologies if this appears twice on the 
list.  I don't see it in the archive, and I do see mails from other users 
that were already posted today.)</SPAN></SPAN></DIV>
<DIV><SPAN class=287343719-08022012></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012>  I am having some issues making a 
flowbits "set" operation be recognized on the first packet of a UDP 
stream.  Specifically, I set a flag called 'acme_noalert' and have all the 
firewall verification rules check issnotset:acme_noalert.</SPAN></DIV>
<DIV><SPAN class=287343719-08022012></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012>  When the first packet of a flow comes 
in, three rules seem to trigger:</SPAN></DIV>
<DIV><SPAN class=287343719-08022012>     1) Base RPC-Decode 
informational rules  -- prints output</SPAN></DIV>
<DIV><SPAN class=287343719-08022012>     2) The 
(flowbits:set,acme_noalert) rule -- no print</SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>     
3) The fw-verify "invalid port" rule  -- <STRONG><FONT color=#0000ff>prints 
output (acme_noalert isn't set?)</FONT></STRONG></FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>  When each 
subsequent packet of a flow comes in, the same three rules 
trigger:</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>     
1) Base RPC-Decode informational stuff -- sometimes prints</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>     
2) The (flowbits:set,acme_noalert) rule -- no print, no net 
effect</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>     
3) The fw-verify "invalid port" rule -- <STRONG><FONT color=#0000ff>no print 
(acme_noalert has been set)</FONT></STRONG></FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>  Is it possible to 
force snort to evaluate rule (2) before rule (3)?  Is there some other way 
of flagging the flow for my other rules?</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>  Below is a 
sanitized set of vars, rules, and example "before" and "after" 
logfiles.</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>  I have an example 
.pcap file that triggers the issue, but am unsure how to distribute it to the 
users list.  (Please let me know what I should do to distribute 
it.)</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>  Also, let me know 
if I should instead re-send this mail with attachments instead of inline 
text.</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000>Thanks,</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>-Rob</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT 
color=#800000></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000>~~~~~~snort.conf 
additions~~~~~</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 
face="Courier New">#######################################<BR># Example 
rules<BR>#######################################</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">###### 
HOSTS<BR>var ACME_HOST_TYPE_GREEN [192.168.1.11]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">var 
ACME_HOST_TYPE_ORANGE [192.168.1.22]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New"># All ACME 
AIX hosts<BR>var ACME_HOST_ALL_AIX 
[192.168.1.11,192.168.1.22]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">###### 
PORTS<BR># AIX ports which are bindable only by root<BR>portvar 
ACME_PORTS_AIX_ROOT_RESV [1:1023]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New"># Note: 
Default ephemeral port range restricted by ACME<BR>portvar 
ACME_PORTS_AIX_EPHEMERAL [58535:65535]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New"># 
Portmapper-111 NFS-2049  LowEphemeral--58535:58555<BR>portvar 
ACME_PORTS_AIX_PORTMAPPED_SVCS [111,2049,58535:58555]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">#### 
Verify-firewall ports<BR>portvar ACME_PORTS_GREENAIX 
[22,23,111,2049,5943,5432,7950,8000,8080,8380,58535:65535]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">portvar 
ACME_PORTS_ORANGEAIX 
[22,23,111,2049,5943,5432,7950,8000,8080,8380,58535:65535]</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 
face="Courier New">##****************************************************************<BR>##*  
Insert the following include afer the last "include" statement in 
snort.conf<BR>##****************************************************************<BR>include 
$RULE_PATH/acme-noalert.rules</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">include 
$RULE_PATH/acme-verify-firewall.rules</FONT></SPAN></DIV>
<DIV><FONT color=#800000 face="Siemens Serif Semibold"></FONT> </DIV>
<DIV><FONT color=#800000 face="Siemens Serif Semibold"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold">~~~~~~~$RULE_PATH/acme-noalert.rules 
~~~~~~~</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">##### ---- 
Begin custom non-generated pre-base rules ---- #####<BR># Mark as "acme_noalert" 
-- allows other rules to alert on suspicious traffic<BR># UDP Portmapper - both 
directions, just in case</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
$ACME_HOST_ALL_AIX $ACME_PORTS_AIX_ROOT_RESV -> $ACME_HOST_ALL_AIX 111 
(flowbits:set,acme_noalert; flowbits:noalert; 
sid:88001;)<BR></FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
$ACME_HOST_ALL_AIX 111 -> $ACME_HOST_ALL_AIX $ACME_PORTS_AIX_ROOT_RESV 
(flowbits:set,acme_noalert; flowbits:noalert; sid:88002;)</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New"># TCP 
Portmapped Services - ONE direction<BR>alert tcp $ACME_HOST_ALL_AIX 
$ACME_PORTS_AIX_ROOT_RESV -> $ACME_HOST_ALL_AIX 
$ACME_PORTS_AIX_PORTMAPPED_SVCS (flowbits:set,acme_noalert; flowbits:noalert; 
sid:88003;)</FONT></SPAN></DIV>
<DIV><FONT color=#800000 face="Siemens Serif Semibold"></FONT> </DIV>
<DIV><FONT color=#800000 face="Siemens Serif Semibold">
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold">~~~~~~~$RULE_PATH/acme-verify-firewall.rules 
~~~~~~~</FONT></SPAN></DIV></FONT></DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
$ACME_HOST_TYPE_GREEN !$ACME_PORTS_GREENAIX -> any any 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid SRC UDP port for 
GREEN AIX";classtype:misc-attack; sid:89001; rev:1;)<BR>alert tcp 
$ACME_HOST_TYPE_GREEN !$ACME_PORTS_GREENAIX -> any any 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid SRC TCP port for 
GREEN AIX";classtype:misc-attack; sid:89002; rev:1;)</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
any any -> $ACME_HOST_TYPE_GREEN !$ACME_PORTS_GREENAIX 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid DST UDP port for 
GREEN AIX";classtype:misc-attack; sid:89003; rev:1;)<BR>alert tcp any any -> 
$ACME_HOST_TYPE_GREEN !$ACME_PORTS_GREENAIX (flowbits:isnotset,acme_noalert; 
msg: "FW validate - invalid DST TCP port for GREEN AIX";classtype:misc-attack; 
sid:89004; rev:1;)</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
$ACME_HOST_TYPE_ORANGE !$ACME_PORTS_ORANGEAIX -> any any 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid SRC UDP port for 
ORANGE AIX";classtype:misc-attack; sid:89011; rev:1;)<BR>alert tcp 
$ACME_HOST_TYPE_ORANGE !$ACME_PORTS_ORANGEAIX -> any any 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid SRC TCP port for 
ORANGE AIX";classtype:misc-attack; sid:89012; rev:1;)</FONT></SPAN></DIV>
<DIV><FONT size=2 face="Courier New"></FONT> </DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 face="Courier New">alert udp 
any any -> $ACME_HOST_TYPE_ORANGE !$ACME_PORTS_ORANGEAIX 
(flowbits:isnotset,acme_noalert; msg: "FW validate - invalid DST UDP port for 
ORANGE AIX";classtype:misc-attack; sid:89013; rev:1;)<BR>alert tcp any any -> 
$ACME_HOST_TYPE_ORANGE !$ACME_PORTS_ORANGEAIX (flowbits:isnotset,acme_noalert; 
msg: "FW validate - invalid DST TCP port for ORANGE AIX";classtype:misc-attack; 
sid:89014; rev:1;)<BR></FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 size=2 
face="Courier New"></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold">~~~~~~~~ EXAMPLE LOG WITH acme-noalert.rules 
ENABLED ~~~~~~~~</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT size=2 
face="Courier New">02/07-08:11:34.803555  [**] [1:579:11] RPC portmap 
mountd request UDP [**] [Classification: Decode of an RPC Query] [Priority: 2] 
{UDP} 192.168.1.22:807 -> 192.168.1.11:111<BR>02/07-08:11:34.803555  
[**] [1:89011:1] FW validate - invalid SRC UDP port for ORANGE AIX [**] 
[Classification: Misc Attack] [Priority: 2] {UDP} 192.168.1.22:807 -> 
192.168.1.11:111<BR>02/07-08:11:34.807006  [**] [1:1959:9] RPC portmap NFS 
request UDP [**] [Classification: Decode of an RPC Query] [Priority: 2] {UDP} 
192.168.1.22:809 -> 192.168.1.11:111<BR>02/07-08:11:34.807006  [**] 
[1:89011:1] FW validate - invalid SRC UDP port for ORANGE AIX [**] 
[Classification: Misc Attack] [Priority: 2] {UDP} 192.168.1.22:809 -> 
192.168.1.11:111<BR></FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold"></FONT></SPAN> </DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold">~~~~~~~~ EXAMPLE LOG WITHOUT acme-noalert.rules 
~~~~~~~~~~~~~</FONT></SPAN></DIV>
<DIV><SPAN class=287343719-08022012><FONT color=#800000 
face="Siemens Serif Semibold"><FONT color=#000000 size=2 
face="Courier New">02/07-08:11:34.803555  [**] [1:579:11] RPC portmap 
mountd request UDP [**] [Classification: Decode of an RPC Query] [Priority: 2] 
{UDP} 192.168.1.22:807 -> 192.168.1.11:111<BR>02/07-08:11:34.803555  
[**] [1:89011:1] FW validate - invalid SRC UDP port for ORANGE AIX [**] 
[Classification: Misc Attack] [Priority: 2] {UDP} 192.168.1.22:807 -> 
192.168.1.11:111<BR>02/07-08:11:34.803849  [**] [1:89013:1] FW validate - 
invalid DST UDP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {UDP} 192.168.1.11:111 -> 
192.168.1.22:807<BR>02/07-08:11:34.804600  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:808 -> 
192.168.1.11:58535<BR>02/07-08:11:34.804758  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:58535 -> 
192.168.1.22:808<BR>02/07-08:11:34.804803  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:808 -> 
192.168.1.11:58535<BR>02/07-08:11:34.804955  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:58535 -> 
192.168.1.22:808<BR>02/07-08:11:34.805001  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:808 -> 
192.168.1.11:58535<BR>02/07-08:11:34.805151  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:58535 -> 
192.168.1.22:808<BR>02/07-08:11:34.805803  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:58535 -> 
192.168.1.22:808<BR>02/07-08:11:34.805848  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:808 -> 
192.168.1.11:58535<BR>02/07-08:11:34.807006  [**] [1:1959:9] RPC portmap 
NFS request UDP [**] [Classification: Decode of an RPC Query] [Priority: 2] 
{UDP} 192.168.1.22:809 -> 192.168.1.11:111<BR>02/07-08:11:34.807006  
[**] [1:89011:1] FW validate - invalid SRC UDP port for ORANGE AIX [**] 
[Classification: Misc Attack] [Priority: 2] {UDP} 192.168.1.22:809 -> 
192.168.1.11:111<BR>02/07-08:11:34.807308  [**] [1:89013:1] FW validate - 
invalid DST UDP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {UDP} 192.168.1.11:111 -> 
192.168.1.22:809<BR>02/07-08:11:34.807993  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:810 -> 
192.168.1.11:2049<BR>02/07-08:11:34.808099  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:2049 -> 
192.168.1.22:810<BR>02/07-08:11:34.808212  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:810 -> 
192.168.1.11:2049<BR>02/07-08:11:34.808329  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:2049 -> 
192.168.1.22:810<BR>02/07-08:11:34.808422  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:810 -> 
192.168.1.11:2049<BR>02/07-08:11:34.808547  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:2049 -> 
192.168.1.22:810<BR>02/07-08:11:34.808554  [**] [1:89014:1] FW validate - 
invalid DST TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.11:2049 -> 
192.168.1.22:810<BR>02/07-08:11:34.808749  [**] [1:89012:1] FW validate - 
invalid SRC TCP port for ORANGE AIX [**] [Classification: Misc Attack] 
[Priority: 2] {TCP} 192.168.1.22:810 -> 
192.168.1.11:2049<BR></FONT></DIV></FONT></SPAN></FONT></DIV></BODY></HTML>