Ok I think it is getting somewhere...<div><br></div><div>Using the -A cmg option with the tweaked rule Russ sent me I see that the alert is being sent on the reassembled packet...</div><div><br></div><div>However, when I remove the -A cmg option to have the output being sent to unified2 the packet suddenly does not appear...</div>

<div><br></div><div>When I inject the pcap on the network, the only thing I receive in unified2 is the unified2Event and never receive the unified2Packet...</div><div><br></div><div>Is it needed extra configuration to send reassembled packets to unified2??</div>

<div><br></div><div>Thank you in advance for your help. You have been great.</div><div><br></div><div>Joćo Lima<br><br><div class="gmail_quote">2012/10/10 Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...14182....." target="_blank">rcombs@...1935...</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Make sure that you have port 8081 configured in both stream5_tcp and http_inspect.  You will need something like this for stream5:<br>

<br>ports both 8081 ...<br>or<br>ports client 8081 ...<br><br>Then, as was mentioned earlier, -A cmg will indicate "Stream reassembled packet" if you actually alert on such a packet.  The following update to your rule would ensure that:<br>


<br>alert tcp any any -> 192.168.8.177 any (msg:"Action type 50"; sid:1000050; content:"|3c 78 73 64 |"; content:"</soapenv:Envelope>";)<br><br>You can also add show_rebuilt_packets to stream5_global and use with -A cmg to see reassembled packets so you know how to tweak your rule.<br>


<br>Hope that helps.<span class="HOEnZb"><font color="#888888"><br>Russ</font></span><div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">On Wed, Oct 10, 2012 at 11:55 AM, Joćo Lima <span dir="ltr"><<a href="mailto:joao.pedro.paulino.lima@...11827..." target="_blank">joao.pedro.paulino.lima@...11827...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">That would not be a problem for me since I have some flexibility to support that. But as I said in the response to Joel, I'm not getting any reassembled packet by any mean, neither am I receiving more than one packet to the same event. <br>




<br>Looking at the pcap that I sent with what I want to detect, I'm only receiving the content of packet 4 and never receiving packet 5.<span><font color="#888888"><div><br></div></font></span><div><span><font color="#888888">Joćo Lima</font></span><div>


<div><br><br><div class="gmail_quote">2012/10/10 Jason Brvenik <span dir="ltr"><<a href="mailto:jasonb@...1935..." target="_blank">jasonb@...1935...</a>></span><br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The member packets will be in the unified2 file, not the psuedo<br>
packet. The tool you are using needs to support multiple packets per<br>
event in order for you to see them. If you use the u2boat tool in the<br>
tools/u2boat directory it will generate a pcap for that unified file<br>
that can be seen in wireshark.<br>
<br>
On Wed, Oct 10, 2012 at 11:13 AM, Joćo Lima<br>
<div><div><<a href="mailto:joao.pedro.paulino.lima@...11827..." target="_blank">joao.pedro.paulino.lima@...11827...</a>> wrote:<br>
> No, I never said that. For me is alerting perfectly also.<br>
><br>
> My problem is that I want it to alert in the reassembled packet resulting<br>
> from stream5/http_inspect/paf.<br>
><br>
> In the end, what I want is to receive an unified2Packet with the complete<br>
> HTTP POST and not only part of the HTTP POST.<br>
><br>
> Is it possible anyway??<br>
><br>
> Best regards,<br>
><br>
> Joćo Lima<br>
><br>
><br>
> 2012/10/10 Joel Esler <<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>><br>
>><br>
>> Are you saying it's not alerting?<br>
>><br>
>> It's working for me perfectly.  Make sure you are using the snort.conf<br>
>> from the VRT, current versions are here:<br>
>><br>
>> <a href="http://www.snort.org/vrt/snort-conf-configurations/" target="_blank">http://www.snort.org/vrt/snort-conf-configurations/</a><br>
>><br>
>> That's what I am testing against.<br>
>><br>
>><br>
>> On Oct 10, 2012, at 4:52 AM, Joćo Lima <<a href="mailto:joao.pedro.paulino.lima@...11827..." target="_blank">joao.pedro.paulino.lima@...11827...</a>><br>
>> wrote:<br>
>><br>
>> Yes I can.<br>
>><br>
>> alert tcp any any -> 192.168.8.177 8081 (msg:"action type 50";<br>
>> sid:1000050; content:"|3c 78 73 64 3a 53 74 61 74 75 73 55 70 64 61 74 65<br>
>> 3e|";)<br>
>><br>
>> Sorry. Should have sent the complete rule the first time.<br>
>><br>
>> Best regards,<br>
>><br>
>> Joćo Lima<br>
>><br>
>> 2012/10/9 Joel Esler <<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>><br>
>>><br>
>>> I see the pcap, but I don't see a complete rule to test with.<br>
>>><br>
>>> Can you provide that?<br>
>>><br>
>>><br>
>>> On Oct 9, 2012, at 5:19 PM, Joćo Lima <<a href="mailto:joao.pedro.paulino.lima@...11827..." target="_blank">joao.pedro.paulino.lima@...11827...</a>><br>
>>> wrote:<br>
>>><br>
>>> Hello,<br>
>>><br>
>>> Does anyone can help me with this issue??<br>
>>><br>
>>> Best regards,<br>
>>><br>
>>> Joćo Pedro Lima<br>
>>><br>
>>> 2012/10/9 Joćo Lima <<a href="mailto:joao.pedro.paulino.lima@...11827..." target="_blank">joao.pedro.paulino.lima@...11827...</a>><br>
>>>><br>
>>>> Sure,<br>
>>>><br>
>>>> The pcap contains the complete HTTP session of the request. What I<br>
>>>> expect to obtain is packet 4 and 5 in just one "pseudo-packet" that<br>
>>>> represent the complete HTTP request.<br>
>>>><br>
>>>> Best regards,<br>
>>>><br>
>>>> Joćo Pedro Lima<br>
>>>><br>
>>>><br>
>>>> 2012/10/9 Russ Combs <<a href="mailto:rcombs@...14182....." target="_blank">rcombs@...1935...</a>><br>
>>>>><br>
>>>>> Can you send a pcap?<br>
>>>>><br>
>>>>> On Tue, Oct 9, 2012 at 10:29 AM, Joćo Lima<br>
>>>>> <<a href="mailto:joao.pedro.paulino.lima@...13704......" target="_blank">joao.pedro.paulino.lima@...11827...</a>> wrote:<br>
>>>>>><br>
>>>>>> Hello,<br>
>>>>>><br>
>>>>>> I'm having a little problem with the reassembly of HTTP PDUs...<br>
>>>>>><br>
>>>>>> My scenario is the following: I have one HTTP POST that is spread<br>
>>>>>> across  two TCP packets... What I'm trying to do is to find one message an<br>
>>>>>> alert when it is found in order to be able to process it in a custom<br>
>>>>>> system...<br>
>>>>>><br>
>>>>>> However, I've already tried almost every configuration of stream5 and<br>
>>>>>> http_inspect, and I'm only able to retrieve the first packet of the two that<br>
>>>>>> compose the HTTP POST... All the documentation says it is possible that<br>
>>>>>> Snort is able to reassemble  packets, but I've found no information about<br>
>>>>>> its ability to return the send a unified2Packet with the reassembled<br>
>>>>>> packet...<br>
>>>>>><br>
>>>>>> The HTTP server is running on port 8081...<br>
>>>>>><br>
>>>>>> Can you tell me if I'm missing something either on the snort<br>
>>>>>> configuration or in the detection rule??<br>
>>>>>><br>
>>>>>> Rule used to detect the packet:<br>
>>>>>><br>
>>>>>> "alert tcp any any -> 192.168.8.177 any (msg:"Action type 50";<br>
>>>>>> sid:1000050; content:"|3c 78 73 64 .......|";)"<br>
>>>>>><br>
>>>>>> My snort.conf is below:<br>
>>>>>><br>
>>>>>> # Setup the network addresses you are protecting<br>
>>>>>> ipvar HOME_NET [<a href="http://192.168.0.0/16,10.0.0.0/8,172.16.0.0/12" target="_blank">192.168.0.0/16,10.0.0.0/8,172.16.0.0/12</a>]<br>
>>>>>><br>
>>>>>> # Set up the external network addresses. Leave as "any" in most<br>
>>>>>> situations<br>
>>>>>> ipvar EXTERNAL_NET any<br>
>>>>>><br>
>>>>>> # List of DNS servers on your network<br>
>>>>>> ipvar DNS_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of SMTP servers on your network<br>
>>>>>> ipvar SMTP_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of web servers on your network<br>
>>>>>> ipvar HTTP_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of sql servers on your network<br>
>>>>>> ipvar SQL_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of telnet servers on your network<br>
>>>>>> ipvar TELNET_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of ssh servers on your network<br>
>>>>>> ipvar SSH_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of ftp servers on your network<br>
>>>>>> ipvar FTP_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of sip servers on your network<br>
>>>>>> ipvar SIP_SERVERS $HOME_NET<br>
>>>>>><br>
>>>>>> # List of ports you run web servers on<br>
>>>>>> portvar HTTP_PORTS<br>
>>>>>> [80,81,311,591,593,901,1220,1414,1830,2301,2381,2809,3128,3702,4343,5250,7001,7145,7510,7777,7779,8000,8008,8014,8028,8080,8081,8088,8118,8123,8180,8181,8243,8280,8800,8888,8899,9080,9090,9091,9443,9999,11371,55555]<br>





>>>>>><br>
>>>>>> # List of ports you want to look for SHELLCODE on.<br>
>>>>>> portvar SHELLCODE_PORTS !80<br>
>>>>>><br>
>>>>>> # List of ports you might see oracle attacks on<br>
>>>>>> portvar ORACLE_PORTS 1024:<br>
>>>>>><br>
>>>>>> # List of ports you want to look for SSH connections on:<br>
>>>>>> portvar SSH_PORTS 22<br>
>>>>>><br>
>>>>>> # List of ports you run ftp servers on<br>
>>>>>> portvar FTP_PORTS [21,2100,3535]<br>
>>>>>><br>
>>>>>> # List of ports you run SIP servers on<br>
>>>>>> portvar SIP_PORTS [5060,5061,5600]<br>
>>>>>><br>
>>>>>> # List of file data ports for file inspection<br>
>>>>>> portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]<br>
>>>>>><br>
>>>>>> # List of GTP ports for GTP preprocessor<br>
>>>>>> portvar GTP_PORTS [2123,2152,3386]<br>
>>>>>><br>
>>>>>> # other variables, these should not be modified<br>
>>>>>> ipvar AIM_SERVERS<br>
>>>>>> [<a href="http://64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24" target="_blank">64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24</a>]<br>





>>>>>><br>
>>>>>> include /etc/nsm/CSIS/local.variables<br>
>>>>>><br>
>>>>>> # Path to your rules files (this can be a relative path)<br>
>>>>>> # Note for Windows users:  You are advised to make this an absolute<br>
>>>>>> path,<br>
>>>>>> # such as:  c:\snort\rules<br>
>>>>>> var RULE_PATH /etc/nsm/rules<br>
>>>>>> var SO_RULE_PATH /etc/nsm/rules<br>
>>>>>> var PREPROC_RULE_PATH /etc/nsm/preproc_rules<br>
>>>>>><br>
>>>>>> # If you are using reputation preprocessor set these<br>
>>>>>> # Currently there is a bug with relative paths, they are relative to<br>
>>>>>> where snort is<br>
>>>>>> # not relative to snort.conf like the above variables<br>
>>>>>> # This is completely inconsistent with how other vars work, BUG 89986<br>
>>>>>> # Set the absolute path appropriately<br>
>>>>>> var WHITE_LIST_PATH /etc/nsm/rules<br>
>>>>>> var BLACK_LIST_PATH /etc/nsm/rules<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #2: Configure the decoder.  For more information, see<br>
>>>>>> README.decode<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # Stop generic decode events:<br>
>>>>>> config disable_decode_alerts<br>
>>>>>><br>
>>>>>> # Stop Alerts on experimental TCP options<br>
>>>>>> config disable_tcpopt_experimental_alerts<br>
>>>>>><br>
>>>>>> # Stop Alerts on obsolete TCP options<br>
>>>>>> config disable_tcpopt_obsolete_alerts<br>
>>>>>><br>
>>>>>> # Stop Alerts on T/TCP alerts<br>
>>>>>> config disable_tcpopt_ttcp_alerts<br>
>>>>>><br>
>>>>>> # Stop Alerts on all other TCPOption type events:<br>
>>>>>> config disable_tcpopt_alerts<br>
>>>>>><br>
>>>>>> # Stop Alerts on invalid ip options<br>
>>>>>> config disable_ipopt_alerts<br>
>>>>>><br>
>>>>>> # Alert if value in length field (IP, TCP, UDP) is greater th elength<br>
>>>>>> of the packet<br>
>>>>>> # config enable_decode_oversized_alerts<br>
>>>>>><br>
>>>>>> # Same as above, but drop packet if in Inline mode (requires<br>
>>>>>> enable_decode_oversized_alerts)<br>
>>>>>> # config enable_decode_oversized_drops<br>
>>>>>><br>
>>>>>> # Configure IP / TCP checksum mode<br>
>>>>>> config checksum_mode: all<br>
>>>>>><br>
>>>>>> # Configure maximum number of flowbit references.  For more<br>
>>>>>> information, see README.flowbits<br>
>>>>>> # config flowbits_size: 64<br>
>>>>>><br>
>>>>>> # Configure ports to ignore<br>
>>>>>> # config ignore_ports: tcp 21 6667:6671 1356<br>
>>>>>> # config ignore_ports: udp 1:17 53<br>
>>>>>><br>
>>>>>> # Configure active response for non inline operation. For more<br>
>>>>>> information, see REAMDE.active<br>
>>>>>> # config response: eth0 attempts 2<br>
>>>>>><br>
>>>>>> # Configure DAQ related options for inline operation. For more<br>
>>>>>> information, see README.daq<br>
>>>>>> #<br>
>>>>>> # config daq: <type><br>
>>>>>> # config daq_dir: <dir><br>
>>>>>> # config daq_mode: <mode><br>
>>>>>> # config daq_var: <var><br>
>>>>>> #<br>
>>>>>> # <type> ::= pcap | afpacket | dump | nfq | ipq | ipfw<br>
>>>>>> # <mode> ::= read-file | passive | inline<br>
>>>>>> # <var> ::= arbitrary <name>=<value passed to DAQ<br>
>>>>>> # <dir> ::= path as to where to look for DAQ module so's<br>
>>>>>><br>
>>>>>> # Configure specific UID and GID to run snort as after dropping privs.<br>
>>>>>> For more information see snort -h command line options<br>
>>>>>> #<br>
>>>>>> # config set_gid:<br>
>>>>>> # config set_uid:<br>
>>>>>><br>
>>>>>> # Configure default snaplen. Snort defaults to MTU of in use<br>
>>>>>> interface. For more information see README<br>
>>>>>> #<br>
>>>>>> # config snaplen:<br>
>>>>>> #<br>
>>>>>><br>
>>>>>> # Configure default bpf_file to use for filtering what traffic reaches<br>
>>>>>> snort. For more information see snort -h command line options (-F)<br>
>>>>>> #<br>
>>>>>> # config bpf_file:<br>
>>>>>> #<br>
>>>>>><br>
>>>>>> # Configure default log directory for snort to log to.  For more<br>
>>>>>> information see snort -h command line options (-l)<br>
>>>>>> #<br>
>>>>>> # config logdir:<br>
>>>>>><br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #3: Configure the base detection engine.  For more information,<br>
>>>>>> see  README.decode<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # Configure PCRE match limitations<br>
>>>>>> config pcre_match_limit: 3500<br>
>>>>>> config pcre_match_limit_recursion: 1500<br>
>>>>>><br>
>>>>>> # Configure the detection engine  See the Snort Manual, Configuring<br>
>>>>>> Snort - Includes - Config<br>
>>>>>> config detection: search-method ac-split search-optimize<br>
>>>>>> max-pattern-len 20<br>
>>>>>><br>
>>>>>> # Configure the event queue.  For more information, see<br>
>>>>>> README.event_queue<br>
>>>>>> config event_queue: max_queue 8 log 3 order_events content_length<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> ## Configure GTP if it is to be used.<br>
>>>>>> ## For more information, see README.GTP<br>
>>>>>> ####################################################<br>
>>>>>><br>
>>>>>> # config enable_gtp<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Per packet and rule latency enforcement<br>
>>>>>> # For more information see README.ppm<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # Per Packet latency configuration<br>
>>>>>> #config ppm: max-pkt-time 250, \<br>
>>>>>> #   fastpath-expensive-packets, \<br>
>>>>>> #   pkt-log<br>
>>>>>><br>
>>>>>> # Per Rule latency configuration<br>
>>>>>> #config ppm: max-rule-time 200, \<br>
>>>>>> #   threshold 3, \<br>
>>>>>> #   suspend-expensive-rules, \<br>
>>>>>> #   suspend-timeout 20, \<br>
>>>>>> #   rule-log alert<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Configure Perf Profiling for debugging<br>
>>>>>> # For more information see README.PerfProfiling<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> #config profile_rules: print all, sort avg_ticks<br>
>>>>>> #config profile_preprocs: print all, sort avg_ticks<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Configure protocol aware flushing<br>
>>>>>> # For more information see README.stream5<br>
>>>>>> ###################################################<br>
>>>>>> config paf_max: 16000<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #4: Configure dynamic loaded libraries.<br>
>>>>>> # For more information, see Snort Manual, Configuring Snort - Dynamic<br>
>>>>>> Modules<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # path to dynamic preprocessor libraries<br>
>>>>>> dynamicpreprocessor directory<br>
>>>>>> /usr/local/lib/snort_dynamicpreprocessor/<br>
>>>>>><br>
>>>>>> # path to base preprocessor engine<br>
>>>>>> dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so<br>
>>>>>><br>
>>>>>> # path to dynamic rules libraries<br>
>>>>>> dynamicdetection directory /usr/local/lib/snort_dynamicrules<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #5: Configure preprocessors<br>
>>>>>> # For more information, see the Snort Manual, Configuring Snort -<br>
>>>>>> Preprocessors<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # GTP Control Channle Preprocessor. For more information, see<br>
>>>>>> README.GTP<br>
>>>>>> # preprocessor gtp: ports { 2123 3386 2152 }<br>
>>>>>><br>
>>>>>> # Inline packet normalization. For more information, see<br>
>>>>>> README.normalize<br>
>>>>>> # Does nothing in IDS mode<br>
>>>>>> preprocessor normalize_ip4<br>
>>>>>> preprocessor normalize_tcp: ips ecn stream<br>
>>>>>> preprocessor normalize_icmp4<br>
>>>>>> preprocessor normalize_ip6<br>
>>>>>> preprocessor normalize_icmp6<br>
>>>>>><br>
>>>>>> # Target-based IP defragmentation.  For more inforation, see<br>
>>>>>> README.frag3<br>
>>>>>> preprocessor frag3_global: max_frags 65536<br>
>>>>>> preprocessor frag3_engine: policy windows detect_anomalies<br>
>>>>>> overlap_limit 10 min_fragment_length 100 timeout 180<br>
>>>>>><br>
>>>>>> # Target-Based stateful inspection/stream reassembly.  For more<br>
>>>>>> inforation, see README.stream5<br>
>>>>>> preprocessor stream5_global: track_tcp yes, \<br>
>>>>>>    track_udp yes, \<br>
>>>>>>    track_icmp no, \<br>
>>>>>>    max_tcp 262144, \<br>
>>>>>>    max_udp 131072, \<br>
>>>>>>    max_active_responses 2, \<br>
>>>>>>    min_response_seconds 5<br>
>>>>>> preprocessor stream5_tcp: policy windows, detect_anomalies,<br>
>>>>>> require_3whs 180, \<br>
>>>>>>    overlap_limit 10, small_segments 3 bytes 150, timeout 180, \<br>
>>>>>>     ports client 21 22 23 25 42 53 79 109 110 111 113 119 135 136 137<br>
>>>>>> 139 143 \<br>
>>>>>>         161 445 513 514 587 593 691 1433 1521 2100 3306 6070 6665 6666<br>
>>>>>> 6667 6668 6669 \<br>
>>>>>>         7000 8181 32770 32771 32772 32773 32774 32775 32776 32777<br>
>>>>>> 32778 32779, \<br>
>>>>>>     ports both 80 81 311 443 465 563 591 593 636 901 989 992 993 994<br>
>>>>>> 995 1220 1414 1830 2301 2381 2809 3128 3702 4343 5250 7907 7001 7145 7510<br>
>>>>>> 7802 7777 7779 \<br>
>>>>>>         7801 7900 7901 7902 7903 7904 7905 7906 7908 7909 7910 7911<br>
>>>>>> 7912 7913 7914 7915 7916 \<br>
>>>>>>         7917 7918 7919 7920 8000 8008 8014 8028 8080 8081 8088 8118<br>
>>>>>> 8123 8180 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371 55555<br>
>>>>>> preprocessor stream5_udp: timeout 180<br>
>>>>>><br>
>>>>>> # performance statistics.  For more information, see the Snort Manual,<br>
>>>>>> Configuring Snort - Preprocessors - Performance Monitor<br>
>>>>>> preprocessor perfmonitor: time 300 file<br>
>>>>>> /nsm/sensor_data/onion-desktop-eth0/snort.stats pktcnt 10000<br>
>>>>>><br>
>>>>>> # HTTP normalization and anomaly detection.  For more information, see<br>
>>>>>> README.http_inspect<br>
>>>>>> preprocessor http_inspect: global iis_unicode_map unicode.map 1252<br>
>>>>>> compress_depth 65535 decompress_depth 65535<br>
>>>>>> preprocessor http_inspect_server: server default \<br>
>>>>>>     http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK<br>
>>>>>> NOTIFY POLL BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK<br>
>>>>>> CONNECT SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND PROPPATCH BPROPFIND BPROPPATCH<br>
>>>>>> RPC_CONNECT PROXY_SUCCESS BITS_POST CCM_POST SMS_POST RPC_IN_DATA<br>
>>>>>> RPC_OUT_DATA RPC_ECHO_DATA } \<br>
>>>>>>     chunk_length 500000 \<br>
>>>>>>     server_flow_depth 0 \<br>
>>>>>>     client_flow_depth 0 \<br>
>>>>>>     post_depth 65495 \<br>
>>>>>>     oversize_dir_length 500 \<br>
>>>>>>     max_header_length 750 \<br>
>>>>>>     max_headers 100 \<br>
>>>>>>     max_spaces 0 \<br>
>>>>>>     small_chunk_length { 10 5 } \<br>
>>>>>>     ports { 80 81 311 591 593 901 1220 1414 1830 2301 2381 2809 3128<br>
>>>>>> 3702 4343 5250 7001 7145 7510 7777 7779 8000 8008 8014 8028 8080 8081 8088<br>
>>>>>> 8118 8123 8180 8181 8243 8280 8800 8888 8899 9080 9090 9091 9443 9999 11371<br>
>>>>>> 55555 } \<br>
>>>>>>     non_rfc_char { 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 } \<br>
>>>>>>     enable_cookie \<br>
>>>>>>     extended_response_inspection \<br>
>>>>>>     inspect_gzip \<br>
>>>>>>     normalize_utf \<br>
>>>>>>     unlimited_decompress \<br>
>>>>>>     normalize_javascript \<br>
>>>>>>     apache_whitespace no \<br>
>>>>>>     ascii no \<br>
>>>>>>     bare_byte no \<br>
>>>>>>     directory no \<br>
>>>>>>     double_decode no \<br>
>>>>>>     iis_backslash no \<br>
>>>>>>     iis_delimiter no \<br>
>>>>>>     iis_unicode no \<br>
>>>>>>     multi_slash no \<br>
>>>>>>     utf_8 no \<br>
>>>>>>     u_encode yes \<br>
>>>>>>     webroot no<br>
>>>>>><br>
>>>>>> # ONC-RPC normalization and anomaly detection.  For more information,<br>
>>>>>> see the Snort Manual, Configuring Snort - Preprocessors - RPC Decode<br>
>>>>>> preprocessor rpc_decode: 111 32770 32771 32772 32773 32774 32775 32776<br>
>>>>>> 32777 32778 32779 no_alert_multiple_requests no_alert_large_fragments<br>
>>>>>> no_alert_incomplete<br>
>>>>>><br>
>>>>>> # Back Orifice detection.<br>
>>>>>> preprocessor bo<br>
>>>>>><br>
>>>>>> # FTP / Telnet normalization and anomaly detection.  For more<br>
>>>>>> information, see README.ftptelnet<br>
>>>>>> preprocessor ftp_telnet: global inspection_type stateful<br>
>>>>>> encrypted_traffic no check_encrypted<br>
>>>>>> preprocessor ftp_telnet_protocol: telnet \<br>
>>>>>>     ayt_attack_thresh 20 \<br>
>>>>>>     normalize ports { 23 } \<br>
>>>>>>     detect_anomalies<br>
>>>>>> preprocessor ftp_telnet_protocol: ftp server default \<br>
>>>>>>     def_max_param_len 100 \<br>
>>>>>>     ports { 21 2100 3535 } \<br>
>>>>>>     telnet_cmds yes \<br>
>>>>>>     ignore_telnet_erase_cmds yes \<br>
>>>>>>     ftp_cmds { ABOR ACCT ADAT ALLO APPE AUTH CCC CDUP } \<br>
>>>>>>     ftp_cmds { CEL CLNT CMD CONF CWD DELE ENC EPRT } \<br>
>>>>>>     ftp_cmds { EPSV ESTA ESTP FEAT HELP LANG LIST LPRT } \<br>
>>>>>>     ftp_cmds { LPSV MACB MAIL MDTM MIC MKD MLSD MLST } \<br>
>>>>>>     ftp_cmds { MODE NLST NOOP OPTS PASS PASV PBSZ PORT } \<br>
>>>>>>     ftp_cmds { PROT PWD QUIT REIN REST RETR RMD RNFR } \<br>
>>>>>>     ftp_cmds { RNTO SDUP SITE SIZE SMNT STAT STOR STOU } \<br>
>>>>>>     ftp_cmds { STRU SYST TEST TYPE USER XCUP XCRC XCWD } \<br>
>>>>>>     ftp_cmds { XMAS XMD5 XMKD XPWD XRCP XRMD XRSQ XSEM } \<br>
>>>>>>     ftp_cmds { XSEN XSHA1 XSHA256 } \<br>
>>>>>>     alt_max_param_len 0 { ABOR CCC CDUP ESTA FEAT LPSV NOOP PASV PWD<br>
>>>>>> QUIT REIN STOU SYST XCUP XPWD } \<br>
>>>>>>     alt_max_param_len 200 { ALLO APPE CMD HELP NLST RETR RNFR STOR<br>
>>>>>> STOU XMKD } \<br>
>>>>>>     alt_max_param_len 256 { CWD RNTO } \<br>
>>>>>>     alt_max_param_len 400 { PORT } \<br>
>>>>>>     alt_max_param_len 512 { SIZE } \<br>
>>>>>>     chk_str_fmt { ACCT ADAT ALLO APPE AUTH CEL CLNT CMD } \<br>
>>>>>>     chk_str_fmt { CONF CWD DELE ENC EPRT EPSV ESTP HELP } \<br>
>>>>>>     chk_str_fmt { LANG LIST LPRT MACB MAIL MDTM MIC MKD } \<br>
>>>>>>     chk_str_fmt { MLSD MLST MODE NLST OPTS PASS PBSZ PORT } \<br>
>>>>>>     chk_str_fmt { PROT REST RETR RMD RNFR RNTO SDUP SITE } \<br>
>>>>>>     chk_str_fmt { SIZE SMNT STAT STOR STRU TEST TYPE USER } \<br>
>>>>>>     chk_str_fmt { XCRC XCWD XMAS XMD5 XMKD XRCP XRMD XRSQ } \<br>
>>>>>>     chk_str_fmt { XSEM XSEN XSHA1 XSHA256 } \<br>
>>>>>>     cmd_validity ALLO < int [ char R int ] > \<br>
>>>>>>     cmd_validity EPSV < [ { char 12 | char A char L char L } ] > \<br>
>>>>>>     cmd_validity MACB < string > \<br>
>>>>>>     cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \<br>
>>>>>>     cmd_validity MODE < char ASBCZ > \<br>
>>>>>>     cmd_validity PORT < host_port > \<br>
>>>>>>     cmd_validity PROT < char CSEP > \<br>
>>>>>>     cmd_validity STRU < char FRPO [ string ] > \<br>
>>>>>>     cmd_validity TYPE < { char AE [ char NTC ] | char I | char L [<br>
>>>>>> number ] } ><br>
>>>>>> preprocessor ftp_telnet_protocol: ftp client default \<br>
>>>>>>     max_resp_len 256 \<br>
>>>>>>     bounce yes \<br>
>>>>>>     ignore_telnet_erase_cmds yes \<br>
>>>>>>     telnet_cmds yes<br>
>>>>>><br>
>>>>>><br>
>>>>>> # SMTP normalization and anomaly detection.  For more information, see<br>
>>>>>> README.SMTP<br>
>>>>>> preprocessor smtp: ports { 25 <a href="tel:465%20587%20691" value="+351465587691" target="_blank">465 587 691</a> } \<br>
>>>>>>     inspection_type stateful \<br>
>>>>>>     b64_decode_depth 0 \<br>
>>>>>>     qp_decode_depth 0 \<br>
>>>>>>     bitenc_decode_depth 0 \<br>
>>>>>>     uu_decode_depth 0 \<br>
>>>>>>     log_mailfrom \<br>
>>>>>>     log_rcptto \<br>
>>>>>>     log_filename \<br>
>>>>>>     log_email_hdrs \<br>
>>>>>>     normalize cmds \<br>
>>>>>>     normalize_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM<br>
>>>>>> ESND ESOM ETRN EVFY } \<br>
>>>>>>     normalize_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT<br>
>>>>>> RCPT RSET SAML SEND SOML } \<br>
>>>>>>     normalize_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT<br>
>>>>>> X-DRCP X-ERCP X-EXCH50 } \<br>
>>>>>>     normalize_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN<br>
>>>>>> XLICENSE XQUE XSTA XTRN XUSR } \<br>
>>>>>>     max_command_line_len 512 \<br>
>>>>>>     max_header_line_len 1000 \<br>
>>>>>>     max_response_line_len 512 \<br>
>>>>>>     alt_max_command_line_len 260 { MAIL } \<br>
>>>>>>     alt_max_command_line_len 300 { RCPT } \<br>
>>>>>>     alt_max_command_line_len 500 { HELP HELO ETRN EHLO } \<br>
>>>>>>     alt_max_command_line_len 255 { EXPN VRFY ATRN SIZE BDAT DEBUG EMAL<br>
>>>>>> ESAM ESND ESOM EVFY IDENT NOOP RSET } \<br>
>>>>>>     alt_max_command_line_len 246 { SEND SAML SOML AUTH TURN ETRN DATA<br>
>>>>>> RSET QUIT ONEX QUEU STARTTLS TICK TIME TURNME VERB X-EXPS X-LINK2STATE XADR<br>
>>>>>> XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN XUSR } \<br>
>>>>>>     valid_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM<br>
>>>>>> ESND ESOM ETRN EVFY } \<br>
>>>>>>     valid_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT<br>
>>>>>> RSET SAML SEND SOML } \<br>
>>>>>>     valid_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT<br>
>>>>>> X-DRCP X-ERCP X-EXCH50 } \<br>
>>>>>>     valid_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN<br>
>>>>>> XLICENSE XQUE XSTA XTRN XUSR } \<br>
>>>>>>     xlink2state { enabled }<br>
>>>>>><br>
>>>>>> # Portscan detection.  For more information, see README.sfportscan<br>
>>>>>> # preprocessor sfportscan: proto  { all } memcap { 10000000 }<br>
>>>>>> sense_level { low }<br>
>>>>>><br>
>>>>>> # ARP spoof detection.  For more information, see the Snort Manual -<br>
>>>>>> Configuring Snort - Preprocessors - ARP Spoof Preprocessor<br>
>>>>>> # preprocessor arpspoof<br>
>>>>>> # preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00<br>
>>>>>><br>
>>>>>> # SSH anomaly detection.  For more information, see README.ssh<br>
>>>>>> preprocessor ssh: server_ports { 22 } \<br>
>>>>>>                   autodetect \<br>
>>>>>>                   max_client_bytes 19600 \<br>
>>>>>>                   max_encrypted_packets 20 \<br>
>>>>>>                   max_server_version_len 100 \<br>
>>>>>>                   enable_respoverflow enable_ssh1crc32 \<br>
>>>>>>                   enable_srvoverflow enable_protomismatch<br>
>>>>>><br>
>>>>>> # SMB / DCE-RPC normalization and anomaly detection.  For more<br>
>>>>>> information, see README.dcerpc2<br>
>>>>>> preprocessor dcerpc2: memcap 102400, events [co ]<br>
>>>>>> preprocessor dcerpc2_server: default, policy WinXP, \<br>
>>>>>>     detect [smb [139,445], tcp 135, udp 135, rpc-over-http-server<br>
>>>>>> 593], \<br>
>>>>>>     autodetect [tcp 1025:, udp 1025:, rpc-over-http-server 1025:], \<br>
>>>>>>     smb_max_chain 3, smb_invalid_shares ["C$", "D$", "ADMIN$"]<br>
>>>>>><br>
>>>>>> # DNS anomaly detection.  For more information, see README.dns<br>
>>>>>> preprocessor dns: ports { 53 } enable_rdata_overflow<br>
>>>>>><br>
>>>>>> # SSL anomaly detection and traffic bypass.  For more information, see<br>
>>>>>> README.ssl<br>
>>>>>> preprocessor ssl: ports { 443 465 563 636 989 992 993 994 995 7801<br>
>>>>>> 7802 7900 7901 7902 7903 7904 7905 7906 7907 7908 7909 7910 7911 7912 7913<br>
>>>>>> 7914 7915 7916 7917 7918 7919 7920 }, trustservers, noinspect_encrypted<br>
>>>>>><br>
>>>>>> # SDF sensitive data preprocessor.  For more information see<br>
>>>>>> README.sensitive_data<br>
>>>>>> preprocessor sensitive_data: alert_threshold 25<br>
>>>>>><br>
>>>>>> # SIP Session Initiation Protocol preprocessor.  For more information<br>
>>>>>> see README.sip<br>
>>>>>> preprocessor sip: max_sessions 40000, \<br>
>>>>>>    ports { 5060 5061 5600 }, \<br>
>>>>>>    methods { invite \<br>
>>>>>>              cancel \<br>
>>>>>>              ack \<br>
>>>>>>              bye \<br>
>>>>>>              register \<br>
>>>>>>              options \<br>
>>>>>>              refer \<br>
>>>>>>              subscribe \<br>
>>>>>>              update \<br>
>>>>>>              join \<br>
>>>>>>              info \<br>
>>>>>>              message \<br>
>>>>>>              notify \<br>
>>>>>>              benotify \<br>
>>>>>>              do \<br>
>>>>>>              qauth \<br>
>>>>>>              sprack \<br>
>>>>>>              publish \<br>
>>>>>>              service \<br>
>>>>>>              unsubscribe \<br>
>>>>>>              prack }, \<br>
>>>>>>    max_uri_len 512, \<br>
>>>>>>    max_call_id_len 80, \<br>
>>>>>>    max_requestName_len 20, \<br>
>>>>>>    max_from_len 256, \<br>
>>>>>>    max_to_len 256, \<br>
>>>>>>    max_via_len 1024, \<br>
>>>>>>    max_contact_len 512, \<br>
>>>>>>    max_content_len 2048<br>
>>>>>><br>
>>>>>> # IMAP preprocessor.  For more information see README.imap<br>
>>>>>> preprocessor imap: \<br>
>>>>>>    ports { 143 } \<br>
>>>>>>    b64_decode_depth 0 \<br>
>>>>>>    qp_decode_depth 0 \<br>
>>>>>>    bitenc_decode_depth 0 \<br>
>>>>>>    uu_decode_depth 0<br>
>>>>>><br>
>>>>>> # POP preprocessor. For more information see README.pop<br>
>>>>>> preprocessor pop: \<br>
>>>>>>    ports { 110 } \<br>
>>>>>>    b64_decode_depth 0 \<br>
>>>>>>    qp_decode_depth 0 \<br>
>>>>>>    bitenc_decode_depth 0 \<br>
>>>>>>    uu_decode_depth 0<br>
>>>>>><br>
>>>>>> # Modbus preprocessor. For more information see README.modbus<br>
>>>>>> preprocessor modbus: ports { 502 }<br>
>>>>>><br>
>>>>>> # DNP3 preprocessor. For more information see README.dnp3<br>
>>>>>> preprocessor dnp3: ports { 20000 } \<br>
>>>>>>    memcap 262144 \<br>
>>>>>>    check_crc<br>
>>>>>><br>
>>>>>> # Reputation preprocessor. For more information see README.reputation<br>
>>>>>> preprocessor reputation: \<br>
>>>>>>    memcap 500, \<br>
>>>>>>    priority whitelist, \<br>
>>>>>>    nested_ip inner, \<br>
>>>>>>    whitelist $WHITE_LIST_PATH/white_list.rules, \<br>
>>>>>>    blacklist $BLACK_LIST_PATH/black_list.rules<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #6: Configure output plugins<br>
>>>>>> # For more information, see Snort Manual, Configuring Snort - Output<br>
>>>>>> Modules<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # unified2<br>
>>>>>> # Recommended for most installs<br>
>>>>>> output unified2: filename snort.unified2, limit 128<br>
>>>>>><br>
>>>>>> include /etc/nsm/CSIS/fifo.output<br>
>>>>>><br>
>>>>>> # Additional configuration for specific types of installs<br>
>>>>>> # output alert_unified2: filename snort.alert, limit 128, nostamp<br>
>>>>>> # output log_unified2: filename snort.log, limit 128, nostamp<br>
>>>>>><br>
>>>>>> # syslog<br>
>>>>>> # output alert_syslog: LOG_AUTH LOG_ALERT<br>
>>>>>><br>
>>>>>> # pcap<br>
>>>>>> # output log_tcpdump: tcpdump.log<br>
>>>>>><br>
>>>>>> # database<br>
>>>>>> # output database: alert, <db_type>, user=<username><br>
>>>>>> password=<password> test dbname=<name> host=<hostname><br>
>>>>>> # output database: log, <db_type>, user=<username> password=<password><br>
>>>>>> test dbname=<name> host=<hostname><br>
>>>>>><br>
>>>>>> # prelude<br>
>>>>>> # output alert_prelude<br>
>>>>>><br>
>>>>>> # metadata reference data.  do not modify these lines<br>
>>>>>> include classification.config<br>
>>>>>> include reference.config<br>
>>>>>><br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #7: Customize your rule set<br>
>>>>>> # For more information, see Snort Manual, Writing Snort Rules<br>
>>>>>> #<br>
>>>>>> # NOTE: All categories are enabled in this conf file<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # site specific rules<br>
>>>>>> include $RULE_PATH/local.rules<br>
>>>>>><br>
>>>>>> include $RULE_PATH/specificationBased.rules<br>
>>>>>><br>
>>>>>> # rules downloaded by PulledPork<br>
>>>>>> include $RULE_PATH/downloaded.rules<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #8: Customize your preprocessor and decoder alerts<br>
>>>>>> # For more information, see README.decoder_preproc_rules<br>
>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # decoder and preprocessor event rules<br>
>>>>>> # include $PREPROC_RULE_PATH/preprocessor.rules<br>
>>>>>> # include $PREPROC_RULE_PATH/decoder.rules<br>
>>>>>> # include $PREPROC_RULE_PATH/sensitive-data.rules<br>
>>>>>><br>
>>>>>> ###################################################<br>
>>>>>> # Step #9: Customize your Shared Object Snort Rules<br>
>>>>>> # For more information, see<br>
>>>>>> <a href="http://vrt-sourcefire.blogspot.com/2009/01/using-vrt-certified-shared-object-rules.html" target="_blank">http://vrt-sourcefire.blogspot.com/2009/01/using-vrt-certified-shared-object-rules.html</a><br>





>>>>>> ###################################################<br>
>>>>>><br>
>>>>>> # dynamic library rules<br>
>>>>>> include $SO_RULE_PATH/so_rules.rules<br>
>>>>>><br>
>>>>>> # Event thresholding or suppression commands. See threshold.conf<br>
>>>>>> include threshold.conf<br>
>>>>>><br>
>>>>>><br>
>>>>>><br>
>>>>>> ------------------------------------------------------------------------------<br>
>>>>>> Don't let slow site performance ruin your business. Deploy New Relic<br>
>>>>>> APM<br>
>>>>>> Deploy New Relic app performance management and know exactly<br>
>>>>>> what is happening inside your Ruby, Python, PHP, Java, and .NET app<br>
>>>>>> Try New Relic at no cost today and get our sweet Data Nerd shirt too!<br>
>>>>>> <a href="http://p.sf.net/sfu/newrelic-dev2dev" target="_blank">http://p.sf.net/sfu/newrelic-dev2dev</a><br>
>>>>>> _______________________________________________<br>
>>>>>> Snort-users mailing list<br>
>>>>>> <a href="mailto:Snort-users@...3893...t" target="_blank">Snort-users@lists.sourceforge.net</a><br>
>>>>>> Go to this URL to change user options or unsubscribe:<br>
>>>>>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>>>>>> Snort-users list archive:<br>
>>>>>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
>>>>>><br>
>>>>>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest<br>
>>>>>> Snort news!<br>
>>>>><br>
>>>>><br>
>>>><br>
>>><br>
>>><br>
>>> <StatusUpdateSequence3.pcap>------------------------------------------------------------------------------<br>
>>><br>
>>> Don't let slow site performance ruin your business. Deploy New Relic APM<br>
>>> Deploy New Relic app performance management and know exactly<br>
>>> what is happening inside your Ruby, Python, PHP, Java, and .NET app<br>
>>> Try New Relic at no cost today and get our sweet Data Nerd shirt too!<br>
>>><br>
>>> <a href="http://p.sf.net/sfu/newrelic-dev2dev_______________________________________________" target="_blank">http://p.sf.net/sfu/newrelic-dev2dev_______________________________________________</a><br>
>>> Snort-users mailing list<br>
>>> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
>>> Go to this URL to change user options or unsubscribe:<br>
>>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>>> Snort-users list archive:<br>
>>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
>>><br>
>>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest<br>
>>> Snort news!<br>
>>><br>
>>><br>
>><br>
>><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Don't let slow site performance ruin your business. Deploy New Relic APM<br>
> Deploy New Relic app performance management and know exactly<br>
> what is happening inside your Ruby, Python, PHP, Java, and .NET app<br>
> Try New Relic at no cost today and get our sweet Data Nerd shirt too!<br>
> <a href="http://p.sf.net/sfu/newrelic-dev2dev" target="_blank">http://p.sf.net/sfu/newrelic-dev2dev</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
> news!<br>
<br>
<br>
<br>
</div></div><span><font color="#888888">--<br>
Regards,<br>
<br>
Jason.<br>
</font></span></blockquote></div><br></div></div></div>
<br>------------------------------------------------------------------------------<br>
Don't let slow site performance ruin your business. Deploy New Relic APM<br>
Deploy New Relic app performance management and know exactly<br>
what is happening inside your Ruby, Python, PHP, Java, and .NET app<br>
Try New Relic at no cost today and get our sweet Data Nerd shirt too!<br>
<a href="http://p.sf.net/sfu/newrelic-dev2dev" target="_blank">http://p.sf.net/sfu/newrelic-dev2dev</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br>
</div></div></blockquote></div><br></div>