<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal>So I’m new to snort. I’ve been able to get it installed and running. What I’m trying to do is to create a custom rule which alerts me whenever there is unknown unicast traffic on the network. The concept is that snort is setting on a vlan, and when it sees ip traffic that is not destined to the ip assigned to its Ethernet interface this means there is  flood traffic, and it should alert.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>It looks to me like it’s working. I have the following rule in local.rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>alert ip any any -> !192.169.1.1/32 (msg:"UnknownUnicastDetected";)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>it also looks like I get the alert<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@...16530... snortlogs]# tail -f alert<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[**] [1:0:0] [**]<o:p></o:p></p><p class=MsoNormal>[Priority: 0]<o:p></o:p></p><p class=MsoNormal>09/12-15:40:32.936423 63.109.209.247:60 -> 161.29.239.27:60<o:p></o:p></p><p class=MsoNormal>TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:682<o:p></o:p></p><p class=MsoNormal>******** Seq: 0x0  Ack: 0x0  Win: 0x0  TcpLen: 20<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I know this is the right packet because I’m sending is from my IXIA traffic generator (this is all in my lab), and I can see the traffic is flooded on the switch. What I don’t get is how come my msg:"UnknownUnicastDetected" does not appear in the alert?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here is my config<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>[root@...16530... snort]# cat /usr/local/snort/etc/snort.conf<o:p></o:p></p><p class=MsoNormal>#--------------------------------------------------<o:p></o:p></p><p class=MsoNormal>#   VRT Rule Packages Snort.conf<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#   For more information visit us at:<o:p></o:p></p><p class=MsoNormal>#     http://www.snort.org                   Snort Website<o:p></o:p></p><p class=MsoNormal>#     http://vrt-blog.snort.org/    Sourcefire VRT Blog<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#     Mailing list Contact:      snort-sigs@lists.sourceforge.net<o:p></o:p></p><p class=MsoNormal>#     False Positive reports:    fp@...1935...<o:p></o:p></p><p class=MsoNormal>#     Snort bugs:                bugs@...950...<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#     Compatible with Snort Versions:<o:p></o:p></p><p class=MsoNormal>#     VERSIONS : 2.9.5.3<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#     Snort build options:<o:p></o:p></p><p class=MsoNormal>#     OPTIONS : --enable-gre --enable-mpls --enable-targetbased --enable-ppm --enable-perfprofiling --enable-zlib --enable-active-response --enable-normalizer --enable-reload --enable-react --enable-flexresp3<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#     Additional information:<o:p></o:p></p><p class=MsoNormal>#     This configuration file enables active response, to run snort in<o:p></o:p></p><p class=MsoNormal>#     test mode -T you are required to supply an interface -i <interface><o:p></o:p></p><p class=MsoNormal>#     or test mode will fail to fully validate the configuration and<o:p></o:p></p><p class=MsoNormal>#     exit with a FATAL error<o:p></o:p></p><p class=MsoNormal>#--------------------------------------------------<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># This file contains a sample snort configuration.<o:p></o:p></p><p class=MsoNormal># You should take the following steps to create your own custom configuration:<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal>#  1) Set the network variables.<o:p></o:p></p><p class=MsoNormal>#  2) Configure the decoder<o:p></o:p></p><p class=MsoNormal>#  3) Configure the base detection engine<o:p></o:p></p><p class=MsoNormal>#  4) Configure dynamic loaded libraries<o:p></o:p></p><p class=MsoNormal>#  5) Configure preprocessors<o:p></o:p></p><p class=MsoNormal>#  6) Configure output plugins<o:p></o:p></p><p class=MsoNormal>#  7) Customize your rule set<o:p></o:p></p><p class=MsoNormal>#  8) Customize preprocessor and decoder rule set<o:p></o:p></p><p class=MsoNormal>#  9) Customize shared object rule set<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #1: Set the network variables.  For more information, see README.variables<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Path to your rules files (this can be a relative path)<o:p></o:p></p><p class=MsoNormal># Note for Windows users:  You are advised to make this an absolute path,<o:p></o:p></p><p class=MsoNormal># such as:  c:\snort\rules<o:p></o:p></p><p class=MsoNormal>var RULE_PATH /rules<o:p></o:p></p><p class=MsoNormal>var SO_RULE_PATH ../so_rules<o:p></o:p></p><p class=MsoNormal>var PREPROC_RULE_PATH ../preproc_rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #2: Configure the decoder.  For more information, see README.decode<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop generic decode events:<o:p></o:p></p><p class=MsoNormal>config disable_decode_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop Alerts on experimental TCP options<o:p></o:p></p><p class=MsoNormal>config disable_tcpopt_experimental_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop Alerts on obsolete TCP options<o:p></o:p></p><p class=MsoNormal>config disable_tcpopt_obsolete_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop Alerts on T/TCP alerts<o:p></o:p></p><p class=MsoNormal>config disable_tcpopt_ttcp_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop Alerts on all other TCPOption type events:<o:p></o:p></p><p class=MsoNormal>config disable_tcpopt_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Stop Alerts on invalid ip options<o:p></o:p></p><p class=MsoNormal>config disable_ipopt_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Alert if value in length field (IP, TCP, UDP) is greater th elength of the packet<o:p></o:p></p><p class=MsoNormal># config enable_decode_oversized_alerts<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Same as above, but drop packet if in Inline mode (requires enable_decode_oversized_alerts)<o:p></o:p></p><p class=MsoNormal># config enable_decode_oversized_drops<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure IP / TCP checksum mode<o:p></o:p></p><p class=MsoNormal>config checksum_mode: all<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure maximum number of flowbit references.  For more information, see README.flowbits<o:p></o:p></p><p class=MsoNormal># config flowbits_size: 64<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure ports to ignore<o:p></o:p></p><p class=MsoNormal># config ignore_ports: tcp 21 6667:6671 1356<o:p></o:p></p><p class=MsoNormal># config ignore_ports: udp 1:17 53<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure active response for non inline operation. For more information, see REAMDE.active<o:p></o:p></p><p class=MsoNormal># config response: eth0 attempts 2<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure DAQ related options for inline operation. For more information, see README.daq<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># config daq: <type><o:p></o:p></p><p class=MsoNormal># config daq_dir: <dir><o:p></o:p></p><p class=MsoNormal># config daq_mode: <mode><o:p></o:p></p><p class=MsoNormal># config daq_var: <var><o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># <type> ::= pcap | afpacket | dump | nfq | ipq | ipfw<o:p></o:p></p><p class=MsoNormal># <mode> ::= read-file | passive | inline<o:p></o:p></p><p class=MsoNormal># <var> ::= arbitrary <name>=<value passed to DAQ<o:p></o:p></p><p class=MsoNormal># <dir> ::= path as to where to look for DAQ module so's<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure specific UID and GID to run snort as after dropping privs. For more information see snort -h command line options<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># config set_gid:<o:p></o:p></p><p class=MsoNormal># config set_uid:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure default snaplen. Snort defaults to MTU of in use interface. For more information see README<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># config snaplen:<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure default bpf_file to use for filtering what traffic reaches snort. For more information see snort -h command line options (-F)<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># config bpf_file:<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure default log directory for snort to log to.  For more information see snort -h command line options (-l)<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># config logdir:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #3: Configure the base detection engine.  For more information, see  README.decode<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure PCRE match limitations<o:p></o:p></p><p class=MsoNormal>config pcre_match_limit: 3500<o:p></o:p></p><p class=MsoNormal>config pcre_match_limit_recursion: 1500<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure the detection engine  See the Snort Manual, Configuring Snort - Includes - Config<o:p></o:p></p><p class=MsoNormal>config detection: search-method ac-split search-optimize max-pattern-len 20<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Configure the event queue.  For more information, see README.event_queue<o:p></o:p></p><p class=MsoNormal>config event_queue: max_queue 8 log 5 order_events content_length<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal>## Configure GTP if it is to be used.<o:p></o:p></p><p class=MsoNormal>## For more information, see README.GTP<o:p></o:p></p><p class=MsoNormal>####################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># config enable_gtp<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Per packet and rule latency enforcement<o:p></o:p></p><p class=MsoNormal># For more information see README.ppm<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Per Packet latency configuration<o:p></o:p></p><p class=MsoNormal>#config ppm: max-pkt-time 250, \<o:p></o:p></p><p class=MsoNormal>#   fastpath-expensive-packets, \<o:p></o:p></p><p class=MsoNormal>#   pkt-log<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Per Rule latency configuration<o:p></o:p></p><p class=MsoNormal>#config ppm: max-rule-time 200, \<o:p></o:p></p><p class=MsoNormal>#   threshold 3, \<o:p></o:p></p><p class=MsoNormal>#   suspend-expensive-rules, \<o:p></o:p></p><p class=MsoNormal>#   suspend-timeout 20, \<o:p></o:p></p><p class=MsoNormal>#   rule-log alert<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Configure Perf Profiling for debugging<o:p></o:p></p><p class=MsoNormal># For more information see README.PerfProfiling<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>#config profile_rules: print all, sort avg_ticks<o:p></o:p></p><p class=MsoNormal>#config profile_preprocs: print all, sort avg_ticks<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Configure protocol aware flushing<o:p></o:p></p><p class=MsoNormal># For more information see README.stream5<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal>config paf_max: 16000<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #4: Configure dynamic loaded libraries.<o:p></o:p></p><p class=MsoNormal># For more information, see Snort Manual, Configuring Snort - Dynamic Modules<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># path to dynamic preprocessor libraries<o:p></o:p></p><p class=MsoNormal>#dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># path to base preprocessor engine<o:p></o:p></p><p class=MsoNormal>#dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># path to dynamic rules libraries<o:p></o:p></p><p class=MsoNormal>#dynamicdetection directory /usr/local/lib/snort_dynamicrules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #5: Configure preprocessors<o:p></o:p></p><p class=MsoNormal># For more information, see the Snort Manual, Configuring Snort - Preprocessors<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># GTP Control Channle Preprocessor. For more information, see README.GTP<o:p></o:p></p><p class=MsoNormal># preprocessor gtp: ports { 2123 3386 2152 }<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Inline packet normalization. For more information, see README.normalize<o:p></o:p></p><p class=MsoNormal># Does nothing in IDS mode<o:p></o:p></p><p class=MsoNormal>preprocessor normalize_ip4<o:p></o:p></p><p class=MsoNormal>preprocessor normalize_tcp: ips ecn stream<o:p></o:p></p><p class=MsoNormal>preprocessor normalize_icmp4<o:p></o:p></p><p class=MsoNormal>preprocessor normalize_ip6<o:p></o:p></p><p class=MsoNormal>preprocessor normalize_icmp6<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Portscan detection.  For more information, see README.sfportscan<o:p></o:p></p><p class=MsoNormal># preprocessor sfportscan: proto  { all } memcap { 10000000 } sense_level { low }<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># ARP spoof detection.  For more information, see the Snort Manual - Configuring Snort - Preprocessors - ARP Spoof Preprocessor<o:p></o:p></p><p class=MsoNormal># preprocessor arpspoof<o:p></o:p></p><p class=MsoNormal># preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #6: Configure output plugins<o:p></o:p></p><p class=MsoNormal># For more information, see Snort Manual, Configuring Snort - Output Modules<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># unified2<o:p></o:p></p><p class=MsoNormal># Recommended for most installs<o:p></o:p></p><p class=MsoNormal># output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Additional configuration for specific types of installs<o:p></o:p></p><p class=MsoNormal># output alert_unified2: filename snort.alert, limit 128, nostamp<o:p></o:p></p><p class=MsoNormal># output log_unified2: filename snort.log, limit 128, nostamp<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># syslog<o:p></o:p></p><p class=MsoNormal># output alert_syslog: LOG_AUTH LOG_ALERT<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># pcap<o:p></o:p></p><p class=MsoNormal># output log_tcpdump: tcpdump.log<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># metadata reference data.  do not modify these lines<o:p></o:p></p><p class=MsoNormal>#include classification.config<o:p></o:p></p><p class=MsoNormal>#include reference.config<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #7: Customize your rule set<o:p></o:p></p><p class=MsoNormal># For more information, see Snort Manual, Writing Snort Rules<o:p></o:p></p><p class=MsoNormal>#<o:p></o:p></p><p class=MsoNormal># NOTE: All categories are enabled in this conf file<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># site specific rules<o:p></o:p></p><p class=MsoNormal>include $RULE_PATH/local.rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #8: Customize your preprocessor and decoder alerts<o:p></o:p></p><p class=MsoNormal># For more information, see README.decoder_preproc_rules<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># decoder and preprocessor event rules<o:p></o:p></p><p class=MsoNormal># include $PREPROC_RULE_PATH/preprocessor.rules<o:p></o:p></p><p class=MsoNormal># include $PREPROC_RULE_PATH/decoder.rules<o:p></o:p></p><p class=MsoNormal># include $PREPROC_RULE_PATH/sensitive-data.rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal># Step #9: Customize your Shared Object Snort Rules<o:p></o:p></p><p class=MsoNormal># For more information, see http://vrt-blog.snort.org/2009/01/using-vrt-certified-shared-object-rules.html<o:p></o:p></p><p class=MsoNormal>###################################################<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># dynamic library rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/bad-traffic.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/chat.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/dos.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/exploit.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/icmp.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/imap.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/misc.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/multimedia.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/netbios.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/nntp.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/p2p.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/smtp.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/snmp.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/specific-threats.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/web-activex.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/web-client.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/web-iis.rules<o:p></o:p></p><p class=MsoNormal># include $SO_RULE_PATH/web-misc.rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Event thresholding or suppression commands. See threshold.conf<o:p></o:p></p><p class=MsoNormal>#include threshold.conf<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>--Jeff<o:p></o:p></p></div></body></html>