<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Yes it is exactly as I put it in. The port number might be the issue then, some example I saw used the IP twice. I cannot seem to find the port number for this website though. I'll try to find it and try again. Thanks.<br><br>Trever<br><br><div><hr id="stopSpelling">Date: Sat, 15 Feb 2014 19:56:15 -0700<br>Subject: Re: [Snort-users] Help with snort rule and notifications<br>From: jthoel@...11827...<br>To: treverleingod@...125...<br>CC: snort-users@lists.sourceforge.net<br><br><p dir="ltr">Is this the rule exactly as you put it in?  You have the ip in twice and it should be 'ip<space>port'   where port is probably [80,443] depending on how you access the site. </p>
<div class="ecxgmail_quote">On Feb 15, 2014 5:11 PM, "Trever Leingod" <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>> wrote:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">



<div><div dir="ltr">Thanks for the input, Ed. I have tried what you suggested.<br><br>I made a new rule based on the rules already present:<br><br>"alert tcp any any -> <a target="_blank">173.254.252.81</a> <a target="_blank">173.254.252.81</a> (msg: " **Alert <a href="http://gtx0.com" target="_blank">gtx0.com</a> has been opened**")"<br>
<br>(IP used above is the one for <a target="_blank">www.gtx0.com)</a><br><br>I used command "snort -d" and opened up <a href="http://gtx0.com" target="_blank">gtx0.com</a> in a browser but no notifications or logs were given. Any further tips, anyone?<br>
<br>--Trever Leingod--<br><br><br><br><div><hr>CC: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@...2652...e.net</a><br>From: <a href="mailto:SnortFan@...131..." target="_blank">SnortFan@...131...</a><br>
Subject: Re: [Snort-users] Help with snort rule and notifications<br>Date: Sat, 15 Feb 2014 11:02:14 -0500<br>To: <a href="mailto:treverleingod@...391...25..." target="_blank">treverleingod@...125...</a><br><br><div>Here's a quick and dirty way. You can take another rule and copy it. Then you have to pick a Sid that's not in use. </div>
<div><br></div><div>Change the msg content to the URL. </div><div><br></div><div>If you create a new rules file, you will have to include it in your snort.conf. </div><div><br></div><div>If you using something like barnyard2 there's more to do.  </div>
<div><br></div><div>Cheers,</div><div>Ed</div><div><br></div><div><br><br><div><div>Sent from a mobile device. </div></div></div><div><br>On Feb 14, 2014, at 4:33 PM, Trever Leingod <<a href="mailto:treverleingod@...846....125..." target="_blank">treverleingod@...125...</a>> wrote:<br>
<br></div><div><span></span></div><blockquote><div>


<div dir="ltr">

<p style="line-height:normal;"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";">I am quite new to using Snort. <br></span></p><p style="line-height:normal;"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";"><br>
</span></p><p style="line-height:normal;"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";">I was hoping to get pointers on how write a rule to get notification
if a certain website, like say <a href="http://www.facebook.com" target="_blank">www.facebook.com</a>, is opened in a web browser, and how would I get this notification/alert to show.</span></p><p style="line-height:normal;">
<br><span style="font-size:12.0pt;font-family:"Times New Roman","serif";"></span></p><p style="line-height:normal;"><span style="font-size:12.0pt;font-family:"Times New Roman","serif";">Trever Leingod<br>

</span></p>

                                          </div>
</div></blockquote><blockquote><div><span>------------------------------------------------------------------------------</span><br><span>Android apps run on BlackBerry 10</span><br><span>Introducing the new BlackBerry 10.2.1 Runtime for Android apps.</span><br>
<span>Now with support for Jelly Bean, Bluetooth, Mapview and more.</span><br><span>Get your Android app in front of a whole new audience.  Start now.</span><br><span><a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a></span></div>
</blockquote><blockquote><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a></span><br>
<span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br>
<span>Snort-users list archive:</span><br><span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br>
<span></span><br><span>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div></blockquote></div>                                       </div></div>
<br>------------------------------------------------------------------------------<br>
Android apps run on BlackBerry 10<br>
Introducing the new BlackBerry 10.2.1 Runtime for Android apps.<br>
Now with support for Jelly Bean, Bluetooth, Mapview and more.<br>
Get your Android app in front of a whole new audience.  Start now.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>

Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div></div>                                         </div></body>
</html>