<meta http-equiv="content-type" content="text/html; charset=utf-8">file_data was missing in my rule. It worked. Thank you.<br><div><br></div><div>Rule I was trying was </div><div><br></div><div>drop tcp any any -> any any (content:"ABC";nocase; msg:"detected in gzip response"; sid:10000001;)</div>
<div><br></div><div>This rule worked to detect in gzip content of http response.</div><div><meta http-equiv="content-type" content="text/html; charset=utf-8">drop tcp any any -> any any (file_data;content:"ABC";nocase; msg:"detected in gzip response"; sid:10000001;)<br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Dec 14, 2012 at 4:44 AM, James Lay <span dir="ltr"><<a href="mailto:jlay@...13475..." target="_blank">jlay@...13475...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 2012-12-13 10:57, Mitesh Jadia wrote:<br>
> Hello,<br>
><br>
> I am writing one rule like    <br>
>  content:"ABC";nocase;msg:....<br>
><br>
> http response is in gzip encoding and I have enabled ZLIB while<br>
> configuring snort. Also http_inspect preprocessor configuration is<br>
> set<br>
> to extended_response_inspection. But this rule is not getting<br>
> matched.<br>
><br>
><br>
> Please show me proper way.<br>
><br>
> Regards,<br>
> Mitesh<br>
<br>
<br>
</div></div>Make sure you enable inspect_gzip in your http_inspect.  You'll also<br>
need the file_data; in order to normalize the content.<br>
<br>
<a href="http://manual.snort.org/node398.html" target="_blank">http://manual.snort.org/node398.html</a><br>
<br>
Hope that helps.<br>
<span class="HOEnZb"><font color="#888888"><br>
James<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
------------------------------------------------------------------------------<br>
LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>
Remotely access PCs and mobile devices and provide instant support<br>
Improve your efficiency, and focus on delivering more value-add services<br>
Discover what IT Professionals Know. Rescue delivers<br>
<a href="http://p.sf.net/sfu/logmein_12329d2d" target="_blank">http://p.sf.net/sfu/logmein_12329d2d</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div></div></blockquote></div><br></div>