<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Sep 26, 2013 at 6:52 AM, Mayur Patil <span dir="ltr"><<a href="mailto:ram.nath241089@...11827..." target="_blank">ram.nath241089@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hello Joel Sir,<br><br></div>    I have looked for your solution but when I am generating rules by parsing through rule generator I am getting error.<br>
<br></div>    I want to use count, seconds to detect DoS Attack<br>
<div><div><div><div><div><br></div><div>    As the following example parses effectively <br></div><div><br>   alert tcp 10.1.1.4 any -> 10.1.1.1 any (msg:"RAM"; content:"TAGMYPACKETS"; classtype:attempted-dos; flow:to_server,established; sid:100001; <br>

    rev:1; )<br><br>    but if I add count,seconds it does not work. I also tried with <b>tag</b> option<br><br>    alert tcp 10.1.1.4 any -> 10.1.1.1 any (msg:"RAM"; 
content:"TAGMYPACKETS"; classtype:attempted-dos; 
flow:to_server,established; sid:100001; <br>    rev:1; count:50; seconds:1)<br></div></div></div></div></div></div></div></div></blockquote><div><br></div><div style>Those aren't valid rule options.  If you want to use them in a rule to determine when the rule fires, use detection_filter.  If you want to use them to change the rule action, use rate_filter.  And if you want to use them to limit logging, use event_filter.  Only detection_filter can be used in a rule.  rate_filter and event_filter are applied after the rule fires and therefore are specified separately.</div>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div><br></div><div>Please help me to solve this problem !!<br><br></div><div>
Seeking for guidance<br><br></div><div>Thanks !!<br><br></div><div><br>
P.S.: I have also search through Snort Manual but did not get hint.<br></div></div></div></div></div><b><br>--<br></b></div><b>Cheers,<br></b></div><b>Mayur</b>.<br></div>
<br>------------------------------------------------------------------------------<br>
October Webinars: Code for Performance<br>
Free Intel webinars can help you accelerate application performance.<br>
Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from<br>
the latest Intel processors and coprocessors. See abstracts and register ><br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=60133471&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div></div>