<div dir="ltr">Hello,<div><br></div><div>As per my understanding...</div><div><br></div><div>Following signature </div><div><span style="font-family:arial,sans-serif;font-size:12px"><font color="#ff0000">alert ip any any -> any any (content:"test"; http_header; msg:"Test Signature"; sid:"9999998"; rev:1);</font></span><br></div><div><span style="font-family:arial,sans-serif;font-size:12px">will not trigger because  content "test"  in your GET request will not be the part of http_header field. http_uri and http_raw_uri are proper keywords to match this content.</span></div><div><span style="font-family:arial,sans-serif;font-size:12px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:12px"><br></span></div><div><span style="font-family:arial,sans-serif;font-size:12px">alert ip any any -> any any (content:"test"; http_uri; msg:"Test Signature"; sid:"9999997"; rev:1);</span><span style="font-family:arial,sans-serif;font-size:12px"><br></span></div><div><font face="arial, sans-serif"><span style="font-size:12px">Logically you should use  'alert tcp'  for this signature.  However with alert ip this signature is working for me here.</span></font></div><div><font face="arial, sans-serif"><span style="font-size:12px"><br></span></font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Sep 26, 2014 at 5:59 PM, NIDS TEAM <span dir="ltr"><<a href="mailto:nidsteam@...391...1827..." target="_blank">nidsteam@...11827...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi<div><br></div><div>I just encounter a problem with the http_* keywords in Snort rules. There is a GET request to <a href="http://www.anywebsite.com/test" target="_blank">www.anywebsite.com/test</a></div><div><br></div><div>The following signature triggers:</div><div>alert ip any any -> any any (content:"test"; msg:"Test Signature"; sid:"9999999"; rev:1);</div><div><br></div><div>The following signatures do not:</div><div>alert ip any any -> any any (content:"test"; http_header; msg:"Test Signature"; sid:"9999998"; rev:1);<br></div><div>alert ip any any -> any any (content:"test"; http_uri; msg:"Test Signature"; sid:"9999997"; rev:1);</div><div><br></div><div>Does anyone have an idea why?</div><div><br></div><div>I tested the behaviour with:</div><div>- Security Onion - Snort 2.9.5.6</div><div>  Default shipped configuration plus the above rules</div><div>- Ubuntu Snort download off the shelf - Snort 2.9.6.0</div><div>- Latest and greatest compiled - Snort 2.9.6.2</div><div><br></div><div>There is always the same behaviour.</div><div><br></div><div>Thanks already </div><div>guido</div></div>
<br>------------------------------------------------------------------------------<br>
Meet PCI DSS 3.0 Compliance Requirements with EventLog Analyzer<br>
Achieve PCI DSS 3.0 Compliant Status with Out-of-the-box PCI DSS Reports<br>
Are you Audit-Ready for PCI DSS 3.0 Compliance? Download White paper<br>
Comply to PCI DSS 3.0 Requirement 10 and 11.5 with EventLog Analyzer<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br></blockquote></div><br></div>