Joel,<br><br>I'm currently reading the manual, I chose the book just to learn some techniques. And by the way, are you releasing any book on Snort anytime soon?<br><br clear="all"><div>Ayo</div>
<br><br><div class="gmail_quote">On Wed, Feb 13, 2013 at 11:44 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

                <div style="font-family:Helvetica;font-size:13px">I'd recommend the current Snort Manual over the book. †The Book was written at Snort version 2.4. †The engine is vastly different now.<br></div><div class="im HOEnZb">

                <div><div><br></div><span style="font-size:12px;font-family:'Lucida Grande'">--</span><br><span style="font-size:12px;font-family:'Lucida Grande'"><b>Joel Esler</b></span><br><span style="font-size:12px;font-family:'Lucida Grande'">Senior Research Engineer, VRT</span><br>
<span style="font-size:12px;font-family:'Lucida Grande'">OpenSource Community Manager</span><br><span style="font-size:12px;font-family:'Lucida Grande'">Sourcefire</span><div><br></div></div>
                 
                </div><div class="HOEnZb"><div class="h5"><p style="color:#a0a0a8">On Tuesday, February 12, 2013 at 8:56 PM, Ayodele Okeowo wrote:</p>
                <blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px">
                    <span><div><div>Thanks for the clarification Joel. I'm infact looking into RazorBack now and I throw more questions if I happen to stumble.<div><br></div><div>And by the way, I saw a book 'Snort 2.1' at Barnes & Noble which you happened to be a co-writer, I'm still expecting my copy from Amazon. I look forward to reading it.</div>

<div><br></div><div><div>Ayo</div>
<br><br><div>On Tue, Feb 12, 2013 at 7:14 PM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...14281....</a>></span> wrote:<br><blockquote type="cite"><div>
<div style="word-wrap:break-word">Thank you (someone, I think it was Shawn) for recommending Razorback.<div><br></div><div>This is exactly one of the millions of reasons that Razorback was designed. †Analyzing files in realtime is just not always feasible. †Hence why Razorback was invented.</div>

<div><div><br></div><div><span style="font-size:12px;font-family:'Lucida Grande'">--</span><br><span style="font-size:12px;font-family:'Lucida Grande'"><b>Joel Esler</b></span><br><span style="font-size:12px;font-family:'Lucida Grande'">Senior Research Engineer, VRT</span><br>

<span style="font-size:12px;font-family:'Lucida Grande'">OpenSource Community Manager</span><br><span style="font-size:12px;font-family:'Lucida Grande'">Sourcefire</span></div></div><div><div><div>
<font face="Lucida Grande"><span style="font-size:12px"><br></span></font><div><div>On Feb 12, 2013, at 3:46 PM, Ayodele Okeowo <<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>> wrote:</div>

<br><blockquote type="cite"><div>Thanks Jeremy and it's nice to know about the status of the tool. I'll play with it this week and see its awesomeness. And I will check out the RazorBack tonight though and go through the documentation.<br>

<br>Thanks guys for the inputs. <br clear="all">
<div>Ayo</div>
<br><br><div>On Tue, Feb 12, 2013 at 3:33 PM, Jeremy Hoel <span dir="ltr"><<a href="mailto:jthoel@...11827..." target="_blank">jthoel@...13610...7...</a>></span> wrote:<br><blockquote type="cite"><div>

It seems the development for OpenFPC has stalled.. there hasn't been a<br>
lot of movement with it. †That being said, when it works and the queue<br>
agent is listening, it's awesome.<br>
<div><div><br>
On Tue, Feb 12, 2013 at 8:25 PM, Ayodele Okeowo <<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>> wrote:<br>
> Thanks Shawn. While I was waiting for the reply, I went through their sites<br>
> and they both look interesting. However, I've been hearing about OpenFPC<br>
> maybe it's something I will look into. Hopefully RazorBack will have full<br>
> documentation on how to integrate it into Snort.<br>
><br>
> I really appreciate your response and showing me some new stuff I've never<br>
> heard of today. A new learning curve.<br>
><br>
> Ayo<br>
><br>
><br>
> On Tue, Feb 12, 2013 at 1:58 PM, Jefferson, Shawn<br>
> <<a href="mailto:Shawn.Jefferson@...14448..." target="_blank">Shawn.Jefferson@...14448...</a>> wrote:<br>
>><br>
>> There are websites for both products that are very easy to find.<br>
>><br>
>><br>
>><br>
>> Basically, both products are essentially monitoring systems that can carve<br>
>> out specific things from your network streams, like downloaded files, and<br>
>> these can then be run through ClamAV or other executable checking tools.<br>
>> Personally, I donít use them, but I carve out specific files that were<br>
>> alerted on by Snort (Iím running StreamDB and OpenFPC), and analyze these on<br>
>> a case by case basis.<br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>> From: Ayodele Okeowo [mailto:<a href="mailto:aymacro@...11827..." target="_blank">aymacro@...11827...</a>]<br>
>> Sent: Tuesday, February 12, 2013 10:42 AM<br>
>> To: Jefferson, Shawn<br>
>> Cc: <a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>; <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
>><br>
>><br>
>> Subject: Re: [Snort-users] Integrating ClamAv into Snort<br>
>><br>
>><br>
>><br>
>> Sorry I meant Shawn.<br>
>><br>
>> >><br>
>> I'm looking up the tools but I'm trying to understand what they do;<br>
>> although I have a little idea but there seems to be no place on what it is,<br>
>> what's used for and the purpose of the tools.<br>
>><br>
>> Any intake on that?<br>
>><br>
>> Ayo<br>
>><br>
>><br>
>><br>
>> On Tue, Feb 12, 2013 at 1:23 PM, Jefferson, Shawn<br>
>> <<a href="mailto:Shawn.Jefferson@...14448..." target="_blank">Shawn.Jefferson@...14448...</a>> wrote:<br>
>><br>
>> What you are looking for is something like RazorBack, or possibly BroIDS.<br>
>><br>
>><br>
>> -----Original Message-----<br>
>> From: waldo kitty [mailto:<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>]<br>
>> Sent: Tuesday, February 12, 2013 10:01 AM<br>
>> To: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
>> Subject: Re: [Snort-users] Integrating ClamAv into Snort<br>
>><br>
>> On 2/12/2013 11:48, Ayodele Okeowo wrote:<br>
>> > folks,<br>
>> ><br>
>> > Has anyone successfully integrated or used ClamAv with Snort? if, Yes,<br>
>> > please could you share how and what documentation to read to be able to<br>
>> > implement this?<br>
>><br>
>> for what reason? if you are thinking about scanning files that users<br>
>> transfer, then you want to include additional packages along side of your<br>
>> snort... these would perform full packet capture and then offer slicing out<br>
>> the files for analysis...<br>
>><br>
>> snort needs to sniff and sniff only... it doesn't need to worry about<br>
>> things like scanning for viruses or even trying to log to a database...<br>
>> these things slow snort down and traffic is lost or otherwise not<br>
>> analyzed... that's not a GoodThing<tm>... leave these tasks to other apps to<br>
>> handle ;)<br>
>><br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> Free Next-Gen Firewall Hardware Offer<br>
>> Buy your Sophos next-gen firewall before the end March 2013 and get the<br>
>> hardware for free! Learn more.<br>
>> <a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
>> _______________________________________________<br>
>> Snort-users mailing list<br>
>> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
>> Go to this URL to change user options or unsubscribe:<br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>> Snort-users list archive:<br>
>> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
>><br>
>> Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
>> news!<br>
>><br>
>><br>
>> ------------------------------------------------------------------------------<br>
>> Free Next-Gen Firewall Hardware Offer<br>
>> Buy your Sophos next-gen firewall before the end March 2013<br>
>> and get the hardware for free! Learn more.<br>
>> <a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
>> _______________________________________________<br>
>> Snort-users mailing list<br>
>> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
>> Go to this URL to change user options or unsubscribe:<br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>> Snort-users list archive:<br>
>> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
>><br>
>> Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
>> news!<br>
>><br>
>><br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
> Free Next-Gen Firewall Hardware Offer<br>
> Buy your Sophos next-gen firewall before the end March 2013<br>
> and get the hardware for free! Learn more.<br>
> <a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort<br>
> news!<br>
</div></div></div></blockquote></div><br>
------------------------------------------------------------------------------<br>Free Next-Gen Firewall Hardware Offer<br>Buy your Sophos next-gen firewall before the end March 2013 <br>and get the hardware for free! Learn more.<br>

<a href="http://p.sf.net/sfu/sophos-d2d-feb_______________________________________________" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb_______________________________________________</a><br>Snort-users mailing list<br>

<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>

Snort-users list archive:<br><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</blockquote></div><br></div></div></div></div></div></blockquote></div><br></div>
</div></div></span>
                 
                 
                 
                 
                </blockquote>
                 
                <div>
                    <br>
                </div>
            </div></div></blockquote></div><br>