<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Hi,<div><br></div><div>I see.  This makes sense to me, except that offset can be a negative number.  So if I specified an offset of -100, wouldn’t that mean to start looking for data 100 bytes *BEFORE* the start of the data section of the packet ?</div><div><br><div><div>On Mar 3, 2015, at 11:54 AM, Joel Esler (jesler) <<a href="mailto:jesler@...589...">jesler@...589...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
Offset tells Snort how far into the data portion of the packet to <i class="">start</i> the search.
<div class=""><br class="">
</div>
<div class=""><br class="">
</div>
<div class="">Depth tells Snort how far from the offset to stop searching.  (Offset being one specified, or in case one is not specified, from the beginning of the packet payload)</div>
<div class=""><br class="">
</div>
<div class=""><br class="">
</div>
<div class=""><span style="font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-family: 'Lucida Grande';" class="">Talos Group</span></div>
<div class=""><span style="font-family: 'Lucida Grande';" class=""><br class="">
</span></div>
<div class=""><span style="font-family: 'Lucida Grande';" class=""><br class="">
</span></div>
<div class="">
<div>
<blockquote type="cite" class="">
<div class="">On Mar 3, 2015, at 11:39 AM, Research <<a href="mailto:research@...17107..." class="">research@...17107...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">Hi,<br class="">
<br class="">
In reading chapter 3 of the Snort 2.9.7.0 manual, I have a clarification question for the use of “depth” vs. “offset”.<br class="">
<br class="">
Depth appears to specify where to start a content match in the packet payload, so if I understand correctly:<br class="">
<br class="">
<span class="Apple-tab-span" style="white-space:pre"></span>depth:5;<br class="">
<br class="">
…would mean begin content matching 5 bytes into the packet payload.<br class="">
<br class="">
When compared to offset, does that mean offset relative to the depth ?  So:<br class="">
<br class="">
<span class="Apple-tab-span" style="white-space:pre"></span>depth:5; offset:10; …<br class="">
<br class="">
…means start at byte 5 in the packet payload and an offset from the depth as a starting location of another 10 bytes ?  I am thinking that is correct because I note that offset can have negative values and a negative starting point for a packet payload would
 not make sense, but as an offset it would.<br class="">
<br class="">
Thanks<br class="">
------------------------------------------------------------------------------<br class="">
Dive into the World of Parallel Programming The Go Parallel Website, sponsored<br class="">
by Intel and developed in partnership with Slashdot Media, is your hub for all<br class="">
things parallel software development, from weekly thought leadership blogs to<br class="">
news, videos, case studies, tutorials and more. Take a look and join the <br class="">
conversation now. <a href="http://goparallel.sourceforge.net/" class="">http://goparallel.sourceforge.net/</a><br class="">
_______________________________________________<br class="">
Snort-users mailing list<br class="">
<a href="mailto:Snort-users@lists.sourceforge.net" class="">Snort-users@lists.sourceforge.net</a><br class="">
Go to this URL to change user options or unsubscribe:<br class="">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br class="">
Snort-users list archive:<br class="">
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br class="">
<br class="">
Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!<br class="">
</div>
</blockquote>
</div>
<br class="">
</div>
</div>

</blockquote></div><br></div></body></html>