<div dir="ltr">So I just compiled Snort with --enable-sourcefire.<div><br></div><div>Snort runs with the following rule:</div><div>alert tcp any any <> any any (msg:"TEST HOST alert"; content:"google"; http_uri; gid:1; sid:99999; rev:2;)</div><div><br></div><div>I then do one single request to <a href="http://www.google.com/mail">www.google.com/mail</a><br><div><br></div><div>The following request is visible with Snort (I do not copy all the SYN/ACK packets):</div><div><br></div><div><div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div><div><br></div><div>09/29-09:03:51.706262 <a href="http://213.156.231.85:38364">213.156.231.85:38364</a> -> <a href="http://173.194.32.210:80">173.194.32.210:80</a></div><div>TCP TTL:64 TOS:0x0 ID:60575 IpLen:20 DgmLen:170 DF</div><div>***AP*** Seq: 0xE1581B62  Ack: 0x746B8DA  Win: 0x73  TcpLen: 32</div><div>TCP Options (3) => NOP NOP TS: 1809643521 4126477955</div><div>47 45 54 20 2F 6D 61 69 6C 20 48 54 54 50 2F 31  GET /mail HTTP/1</div><div>2E 31 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20  .1..User-Agent:</div><div>57 67 65 74 2F 31 2E 31 33 2E 34 20 28 6C 69 6E  Wget/1.13.4 (lin</div><div>75 78 2D 67 6E 75 29 0D 0A 41 63 63 65 70 74 3A  ux-gnu)..Accept:</div><div>20 2A 2F 2A 0D 0A 48 6F 73 74 3A 20 77 77 77 2E   */*..Host: www.</div><div>67 6F 6F 67 6C 65 2E 63 6F 6D 0D 0A 43 6F 6E 6E  google.com..Conn</div><div>65 63 74 69 6F 6E 3A 20 4B 65 65 70 2D 41 6C 69  ection: Keep-Ali</div><div>76 65 0D 0A 0D 0A                                ve....</div><div><br></div><div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div><div><br></div><div>The Preprocessor Profile Statistics shows:</div><div>  3              httpinspect     0          2          2                   4       2.11          0.60         0.60<br></div><div><br></div><div><div>===============================================================================</div><div>HTTP Inspect - encodings (Note: stream-reassembled packets included):</div><div>    POST methods:                         0</div><div>    GET methods:                          0</div><div>    HTTP Request Headers extracted:       0</div><div>    HTTP Request Cookies extracted:       0</div><div>    Post parameters extracted:            0</div><div>    HTTP response Headers extracted:      0</div><div>    HTTP Response Cookies extracted:      0</div><div>    Unicode:                              0</div><div>    Double unicode:                       0</div><div>    Non-ASCII representable:              0</div><div>    Directory traversals:                 0</div><div>    Extra slashes ("//"):                 0</div><div>    Self-referencing paths ("./"):        0</div><div>    HTTP Response Gzip packets extracted: 0</div><div>    Gzip Compressed Data Processed:       n/a</div><div>    Gzip Decompressed Data Processed:     n/a</div><div>    Total packets processed:              2</div></div><div><br></div><div>It looks like the http_inspect preprocessor doesn't do anything here, besides passing the packet.</div><div><br></div><div>The http_inspect configuration is identical to: <a href="http://labs.snort.org/snort/2962/snort.conf">http://labs.snort.org/snort/2962/snort.conf</a></div><div><br></div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 26, 2014 at 5:50 PM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I suggest you compile with —enable-sourcefire.<br>
<br>
That turns on all the things we usually troubleshoot with.<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
> On Sep 26, 2014, at 11:46 AM, NIDS TEAM <<a href="mailto:nidsteam@...11827...">nidsteam@...11827...</a>> wrote:<br>
><br>
> No, but is there any dependency?<br>
><br>
> These are the compile flags:<br>
><br>
> ./configure \<br>
>                 --quiet \<br>
>                 --prefix=/opt/snort \<br>
>                 --enable-static=no \<br>
>                 --with-libpcap-includes=/opt/snort/include \<br>
>                 --with-libpcap-libraries=/opt/snort/lib \<br>
>                 --with-dnet-includes=/opt/snort/include \<br>
>                 --with-dnet-libraries=/opt/snort/lib \<br>
>                 --with-daq-includes=/opt/snort/include \<br>
>                 --with-daq-libraries=/opt/snort/lib \<br>
>                 --enable-reload \<br>
>                 --enable-reload-error-restart \<br>
>                 --enable-normalizer<br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>