<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'>Here you are, sir. Just a quick test here.<br><br><br>Run time for packet processing was 7.235000 seconds<br>Snort processed 814 packets.<br>Snort ran for 0 days 0 hours 0 minutes 7 seconds<br>   Pkts/sec:          116<br>==========================================================================<br>Packet I/O Totals:<br>   Received:         1286<br>   Analyzed:          814 ( 63.297%)<br>    Dropped:            0 (  0.000%)<br>   Filtered:            0 (  0.000%)<br>Outstanding:          472 ( 36.703%)<br>   Injected:            0<br>==========================================================================<br>Breakdown by protocol (includes rebuilt packets):<br>        Eth:          814 (100.000%)<br>       VLAN:            0 (  0.000%)<br>        IP4:          687 ( 84.398%)<br>       Frag:            0 (  0.000%)<br>       ICMP:            0 (  0.000%)<br>        UDP:          193 ( 23.710%)<br>        TCP:          393 ( 48.280%)<br>        IP6:           27 (  3.317%)<br>    IP6 Ext:           27 (  3.317%)<br>   IP6 Opts:            0 (  0.000%)<br>      Frag6:            0 (  0.000%)<br>      ICMP6:           11 (  1.351%)<br>       UDP6:           16 (  1.966%)<br>       TCP6:            0 (  0.000%)<br>     Teredo:            0 (  0.000%)<br>    ICMP-IP:            0 (  0.000%)<br>      EAPOL:            0 (  0.000%)<br>    IP4/IP4:            0 (  0.000%)<br>    IP4/IP6:            0 (  0.000%)<br>    IP6/IP4:            0 (  0.000%)<br>    IP6/IP6:            0 (  0.000%)<br>        GRE:            0 (  0.000%)<br>    GRE Eth:            0 (  0.000%)<br>   GRE VLAN:            0 (  0.000%)<br>    GRE IP4:            0 (  0.000%)<br>    GRE IP6:            0 (  0.000%)<br>GRE IP6 Ext:            0 (  0.000%)<br>   GRE PPTP:            0 (  0.000%)<br>    GRE ARP:            0 (  0.000%)<br>    GRE IPX:            0 (  0.000%)<br>   GRE Loop:            0 (  0.000%)<br>       MPLS:            0 (  0.000%)<br>        ARP:          100 ( 12.285%)<br>        IPX:            0 (  0.000%)<br>   Eth Loop:            0 (  0.000%)<br>   Eth Disc:            0 (  0.000%)<br>   IP4 Disc:            0 (  0.000%)<br>   IP6 Disc:            0 (  0.000%)<br>   TCP Disc:            0 (  0.000%)<br>   UDP Disc:            0 (  0.000%)<br>  ICMP Disc:            0 (  0.000%)<br>All Discard:            0 (  0.000%)<br>      Other:          101 ( 12.408%)<br>Bad Chk Sum:            0 (  0.000%)<br>    Bad TTL:            0 (  0.000%)<br>     S5 G 1:            0 (  0.000%)<br>     S5 G 2:            0 (  0.000%)<br>      Total:          814<br>==========================================================================<br>Snort exiting<br><div><hr id="stopSpelling">From: cwaxman@...589...<br>To: treverleingod@...125...; snort-users@lists.sourceforge.net<br>Subject: Re: [Snort-users] FW:  FW:  Help with snort rule and notifications<br>Date: Tue, 18 Feb 2014 14:38:46 +0000<br><br>




<div>Could you send the stats Snort dumps when it exits?</div>
<div><br>
</div>
<span id="ecxOLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:11pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt;">
<span style="font-weight:bold;">From: </span>Trever Leingod <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>><br>
<span style="font-weight:bold;">Date: </span>Monday, February 17, 2014 6:23 PM<br>
<span style="font-weight:bold;">To: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold;">Subject: </span>[Snort-users] FW: FW: Help with snort rule and notifications<br>
</div>
<div><br>
</div>
<div><style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}

--></style>
<div class="ecxhmmessage">
<div dir="ltr"><br>
<br>
<div>
<hr id="ecxstopSpelling">
From: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a><br>
To: <a href="mailto:cwaxman@...589...">cwaxman@...589...</a><br>
Subject: RE: [Snort-users] FW: Help with snort rule and notifications<br>
Date: Mon, 17 Feb 2014 18:23:35 -0500<br>
<br>
<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}


--></style>
<div dir="ltr">Yes sir. It is getting traffic, it is just that the notification is not being written to a log file at all.<br>
<br>
<div>
<hr id="ecxstopSpelling">
From: <a href="mailto:cwaxman@...589...">cwaxman@...589...</a><br>
To: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a>; <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
Subject: Re: [Snort-users] FW: Help with snort rule and notifications<br>
Date: Mon, 17 Feb 2014 20:32:51 +0000<br>
<br>
<div>It sounds like Snort isn't getting any traffic. Is the WinPCAP service installed and running?</div>
<div><br>
</div>
<span id="ecxOLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:11pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt;">
<span style="font-weight:bold;">From: </span>Trever Leingod <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>><br>
<span style="font-weight:bold;">Date: </span>Monday, February 17, 2014 3:13 PM<br>
<span style="font-weight:bold;">To: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold;">Subject: </span>Re: [Snort-users] FW: Help with snort rule and notifications<br>
</div>
<div><br>
</div>
<div><style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}


--></style>
<div class="ecxhmmessage">
<div dir="ltr">Tried this too but no notification still. I am running this on a Windows machine, if that makes any difference.<br>
<div>
<hr id="ecxstopSpelling">
From: <a href="mailto:cwaxman@...589...">cwaxman@...589...</a><br>
To: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a>; <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
Subject: Re: [Snort-users] FW: Help with snort rule and notifications<br>
Date: Mon, 17 Feb 2014 19:49:49 +0000<br>
<br>
<div>If you are not getting any output, you might need to specify the network interface you wish to use. Run "snort.exe W" to get a list of interfaces, then run "snort d i <interface#>" to capture.</div>
<div><br>
</div>
<span id="ecxOLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:11pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt;">
<span style="font-weight:bold;">From: </span>Trever Leingod <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>><br>
<span style="font-weight:bold;">Date: </span>Monday, February 17, 2014 2:38 PM<br>
<span style="font-weight:bold;">To: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold;">Subject: </span>[Snort-users] FW: Help with snort rule and notifications<br>
</div>
<div><br>
</div>
<div><style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}


--></style>
<div class="ecxhmmessage">
<div dir="ltr"><br>
<br>
<div>
<hr id="ecxstopSpelling">
From: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a><br>
To: <a href="mailto:cwaxman@...589...">cwaxman@...589...</a><br>
Subject: RE: [Snort-users] Help with snort rule and notifications<br>
Date: Mon, 17 Feb 2014 14:38:33 -0500<br>
<br>
<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}


--></style>
<div dir="ltr">Hello Carter<br>
<br>
Thanks for the extra input. <br>
<br>
I've tried what you and Jeremy mentioned and I'm still not getting any notifications for opening the site.<br>
<br>
What I did was use the code you both mentioned. I used "snort.exe -d" in the command line and browsed to gtx0.com. No log was made in the log folder and nothing was output to the command line screen either. Still making newbie mistakes here. Am I trying to
 detect the notification in the wrong manner?<br>
<br>
Trever<br>
<br>
<div>
<hr id="ecxstopSpelling">
From: <a href="mailto:cwaxman@...589...">cwaxman@...589...</a><br>
To: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a>; <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
Subject: Re: [Snort-users] Help with snort rule and notifications<br>
Date: Mon, 17 Feb 2014 14:45:13 +0000<br>
<br>
<div>Hi Trever,</div>
<div><br>
</div>
<div> I'm not sure if it's a typo, but both of those IPs are the same. If you are trying to specify multiple IPs or ports, you should separate with commas and enclose the list in [brackets]. As Jeremy mentioned, you will need to specify the correct ports explicitly.
 As far as which ports to use, most websites will be using port 80 for HTTP or port 443 for HTTPS, though this isn't always true. I think this is what you were going for (assuming you are using standard HTTP / HTTPS ports):</div>
<div><br>
</div>
<div>alert tcp any any -> <a target="_blank">173.254.252.81 [80,443]</a> (msg: " **Alert <a href="http://gtx0.com" target="_blank">gtx0.com</a> has been opened**");</div>
<div><br>
</div>
<div>-Carter</div>
<div><br>
</div>
<span id="ecxOLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:11pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt;">
<span style="font-weight:bold;">From: </span>Trever Leingod <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>><br>
<span style="font-weight:bold;">Date: </span>Sunday, February 16, 2014 5:23 PM<br>
<span style="font-weight:bold;">To: </span>Snort Users <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold;">Subject: </span>Re: [Snort-users] Help with snort rule and notifications<br>
</div>
<div><br>
</div>
<div><style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}


--></style>
<div class="ecxhmmessage">
<div dir="ltr">Yes it is exactly as I put it in. The port number might be the issue then, some example I saw used the IP twice. I cannot seem to find the port number for this website though. I'll try to find it and try again. Thanks.<br>
<br>
Trever<br>
<br>
<div>
<hr id="ecxstopSpelling">
Date: Sat, 15 Feb 2014 19:56:15 -0700<br>
Subject: Re: [Snort-users] Help with snort rule and notifications<br>
From: <a href="mailto:jthoel@...11827...">jthoel@...11827...</a><br>
To: <a href="mailto:treverleingod@...125...">treverleingod@...125...</a><br>
CC: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...sourceforge.net</a><br>
<br>
<p dir="ltr">Is this the rule exactly as you put it in?  You have the ip in twice and it should be 'ip<space>port'   where port is probably [80,443] depending on how you access the site.
</p>
<div class="ecxgmail_quote">On Feb 15, 2014 5:11 PM, "Trever Leingod" <<a href="mailto:treverleingod@...125...">treverleingod@...125...</a>> wrote:<br>
<blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">
<div>
<div dir="ltr">Thanks for the input, Ed. I have tried what you suggested.<br>
<br>
I made a new rule based on the rules already present:<br>
<br>
"alert tcp any any -> <a target="_blank">173.254.252.81</a> <a target="_blank">173.254.252.81</a> (msg: " **Alert
<a href="http://gtx0.com" target="_blank">gtx0.com</a> has been opened**")"<br>
<br>
(IP used above is the one for <a target="_blank">www.gtx0.com)</a><br>
<br>
I used command "snort -d" and opened up <a href="http://gtx0.com" target="_blank">
gtx0.com</a> in a browser but no notifications or logs were given. Any further tips, anyone?<br>
<br>
--Trever Leingod--<br>
<br>
<br>
<br>
<div>
<hr>
CC: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a><br>
From: <a href="mailto:SnortFan@...131..." target="_blank">SnortFan@...391...31...</a><br>
Subject: Re: [Snort-users] Help with snort rule and notifications<br>
Date: Sat, 15 Feb 2014 11:02:14 -0500<br>
To: <a href="mailto:treverleingod@...125..." target="_blank">treverleingod@...125...</a><br>
<br>
<div>Here's a quick and dirty way. You can take another rule and copy it. Then you have to pick a Sid that's not in use. </div>
<div><br>
</div>
<div>Change the msg content to the URL. </div>
<div><br>
</div>
<div>If you create a new rules file, you will have to include it in your snort.conf. </div>
<div><br>
</div>
<div>If you using something like barnyard2 there's more to do.  </div>
<div><br>
</div>
<div>Cheers,</div>
<div>Ed</div>
<div><br>
</div>
<div><br>
<br>
<div>
<div>Sent from a mobile device. </div>
</div>
</div>
<div><br>
On Feb 14, 2014, at 4:33 PM, Trever Leingod <<a href="mailto:treverleingod@...125..." target="_blank">treverleingod@...125...</a>> wrote:<br>
<br>
</div>
<div><span></span></div>
<blockquote>
<div>
<div dir="ltr">
<p style="line-height:normal;"><span style="font-size:12pt;font-family:'Times New Roman', serif;">I am quite new to using Snort.
<br>
</span></p>
<p style="line-height:normal;"><span style="font-size:12pt;font-family:'Times New Roman', serif;"><br>
</span></p>
<p style="line-height:normal;"><span style="font-size:12pt;font-family:'Times New Roman', serif;">I was hoping to get pointers on how write a rule to get notification if a certain website, like say
<a href="http://www.facebook.com" target="_blank">www.facebook.com</a>, is opened in a web browser, and how would I get this notification/alert to show.</span></p>
<p style="line-height:normal;"><br>
<span style="font-size:12pt;font-family:'Times New Roman', serif;"></span></p>
<p style="line-height:normal;"><span style="font-size:12pt;font-family:'Times New Roman', serif;">Trever Leingod<br>
</span></p>
</div>
</div>
</blockquote>
<blockquote>
<div><span>------------------------------------------------------------------------------</span><br>
<span>Android apps run on BlackBerry 10</span><br>
<span>Introducing the new BlackBerry 10.2.1 Runtime for Android apps.</span><br>
<span>Now with support for Jelly Bean, Bluetooth, Mapview and more.</span><br>
<span>Get your Android app in front of a whole new audience.  Start now.</span><br>
<span><a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a></span></div>
</blockquote>
<blockquote>
<div><span>_______________________________________________</span><br>
<span>Snort-users mailing list</span><br>
<span><a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a></span><br>
<span>Go to this URL to change user options or unsubscribe:</span><br>
<span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br>
<span>Snort-users list archive:</span><br>
<span><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a></span><br>
<span></span><br>
<span>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
</div>
</div>
<br>
------------------------------------------------------------------------------<br>
Android apps run on BlackBerry 10<br>
Introducing the new BlackBerry 10.2.1 Runtime for Android apps.<br>
Now with support for Jelly Bean, Bluetooth, Mapview and more.<br>
Get your Android app in front of a whole new audience.  Start now.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=124407151&iu=/4140/ostg.clktrk</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote>
</div>
</div>
</div>
</div>
</div>
</span></div>
</div>
</div>
</div>
</div>
</div>
</span></div>
</div>
</div>
</div>
</span></div>
</div>
</div>
</div>
</div>
</div>
</span></div>                                         </div></body>
</html>