That shouldn't work. You can't specify a content modifier to a PCRE; if you want the PCRE to operate just on the method, you need the /M flag.<div><br><div class="gmail_quote">On Thu, Jul 26, 2012 at 12:38 PM, Shaiming Hsiung <span dir="ltr"><<a href="mailto:shaiming.hsiung@...13704......" target="_blank">shaiming.hsiung@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">> Please help me to write a snort rule that matches http request with NO content GET or POST.<br>
<br>
</div>I have in the past used a regex like the following:<br>
<br>
    pcre: "/^([^GP]|G[^E]|GE[^T]|GET[^ ]|P[^O]|PO[^S]|POS[^T]|POST[^<br>
])/i"; http_method;<br>
<br>
A bit hairy but works, and uses only non-negated rules.<br>
It essentially matches a packet that begins with anything<br>
but "GET " or "POST ":<br>
<br>
The packet can start with:<br>
    - any letter except G and P<br>
    - or G followed by any letter except E<br>
    - or GE followed by any letter except T<br>
    - etc.<br>
<br>
Beware; this is vulnerable to fragmentation.<br>
<br>
Regards,<br>
<br>
--<br>
Shaiming Hsiung<br>
<div class="HOEnZb"><div class="h5"><br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>Alex Kirk<br>AEGIS Program Lead<br>Sourcefire Vulnerability Research Team<br>+1-410-423-1937<br><a href="mailto:alex.kirk@...1935...">alex.kirk@...391...935...</a><br>

</div>