<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Candara;
        panose-1:2 14 5 2 3 3 3 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.EmailStyle20
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
span.t
        {mso-style-name:t;}
span.EmailStyle22
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle23
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle24
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle25
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#1F497D">I’ve managed to have another look and I think I’ve found the offending packets. The http CONNECT is fine and the exchange of certificates looks good.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">We gate an HTTP/1.0 200 Connection established message.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">The problem comes when the TLS connection is being established<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">The offending packets are<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">TLS Record Layer: Handshake Protocol: Client Hello<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Is there anything in the http_inspect that covers this?<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Terry<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Al Lewis (allewi) [mailto:allewi@...589...]
<br>
<b>Sent:</b> 04 March 2015 13:41<br>
<b>To:</b> Terry John<br>
<b>Cc:</b> snort-users<br>
<b>Subject:</b> RE: (http_inspect) UNKNOWN METHOD error on squid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Understood. My advice would be to check the traffic and look at the http methods being used first. Most (if not all) of the preprocessor and decoder rules alert only when something out of the ordinary
 (malformed/invalid) happens. They shouldn’t be alerting on normal traffic.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Hope this helps!<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">Albert Lewis<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:red">fire</span></b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">,
 Inc. </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888">now part of
</span><b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#31849B">Cisco</span></b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Email:
</span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D"><a href="mailto:allewi@...843.....589...">allewi@...589...</a></span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#4F81BD"> </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Terry John [<a href="mailto:Terry.John@...16850...">mailto:Terry.John@...16850...</a>]
<br>
<b>Sent:</b> Wednesday, March 04, 2015 7:17 AM<br>
<b>To:</b> Al Lewis (allewi); snort-users<br>
<b>Subject:</b> RE: (http_inspect) UNKNOWN METHOD error on squid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">It’s difficult to sanitise the data for public viewing unfortunately. But what I can say, from the squid logs, is that it is coming from a fisheye server connecting to a code repository service providing source
 code management. It connects successfully to port 443 of the destination server.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">The data comes as a burst of 3 or 4 packets in a second waits about 15 seconds then sends another burst of packets.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Sorry if it’s a bit vague<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Al Lewis (allewi) [<a href="mailto:allewi@...589...">mailto:allewi@...589...</a>]
<br>
<b>Sent:</b> 04 March 2015 11:22<br>
<b>To:</b> Terry John; snort-users<br>
<b>Subject:</b> RE: (http_inspect) UNKNOWN METHOD error on squid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Hello,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">Can you provide a pcap of the traffic that is causing the alerts?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D">What this alert is telling you is that one of the http_methods used in the packet is either not in your preprocessor config or malformed/invalid.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">Albert Lewis<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:red">fire</span></b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#999999">,
 Inc. </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888">now part of
</span><b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#31849B">Cisco</span></b><span lang="EN-US" style="font-size:12.0pt;font-family:"Georgia","serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#999999">Email:
</span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D"><a href="mailto:allewi@...843.....589...">allewi@...589...</a></span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#4F81BD"> </span><span lang="EN-US" style="font-size:12.0pt;font-family:"Candara","sans-serif";color:#1F497D"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span lang="EN-US" style="color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Terry John [<a href="mailto:Terry.John@...16850...">mailto:Terry.John@...16850...</a>]
<br>
<b>Sent:</b> Wednesday, March 04, 2015 5:52 AM<br>
<b>To:</b> snort-users<br>
<b>Subject:</b> [Snort-users] (http_inspect) UNKNOWN METHOD error on squid<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal">I am trying to work out how to stop of thousands of false positives caused by access to squid proxy on port 3128. Here is a typical error.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[<span class="t">119:31:1</span>] (<span class="t">http_inspect</span>)
<span class="t">UNKNOWN</span> <span class="t">METHOD</span> [**]<o:p></o:p></p>
<p class="MsoNormal">[<span class="t">Classification:</span> <span class="t">Unknown</span>
<span class="t">Traffic</span>] [<span class="t">Priority:</span> <span class="t">
3</span>] <span class="t"><date>-<time></span> <span class="t"><src_ip>:35360</span>
<span class="t">-</span>> <span class="t"><squid_server_ip>:3128</span><span class="t"><span lang="EN-US"><o:p></o:p></span></span></p>
<p class="MsoNormal"><span class="t">TCP</span> <span class="t">TTL:128</span> <span class="t">
TOS:0x0</span> <span class="t">ID:87051</span> <span class="t">IpLen:20</span> <span class="t">
DgmLen:775</span> <span class="t">DF<o:p></o:p></span></p>
<p class="MsoNormal">***<span class="t">A</span>**** <span class="t">Seq:</span> <span class="t">
0x126F0768</span> <span class="t">Ack:</span> <span class="t">0x859E62D4</span> <span class="t">
Win:</span> <span class="t">0x4980</span> <span class="t">TcpLen:</span> <span class="t">
32</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is what I think  is the relevant section of the pre-processor declaration<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">preprocessor http_inspect_server: server default \<o:p></o:p></p>
<p class="MsoNormal">    http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK NOTIFY POLL BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK CONNECT SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND PROPPATCH BPROPFIND BPROPPATCH RPC_CONNECT PROXY_SUCCESS
 BITS_POST CCM_POST SMS_POST RPC_IN_DATA RPC_OUT_DATA RPC_ECHO_DATA } \<o:p></o:p></p>
<p class="MsoNormal">    allow_proxy_use \<o:p></o:p></p>
<p class="MsoNormal">    ports { 36 80 81 82 83 84 85 86 87 88 89 90 311 383 555 591 593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 2231 2301 2381 2809 3029 3037 3057 3128 3443 3702 4000 4343 4848 5117 5250 6080 6173 6988 7000 7001 7071 7144 7145
 7510 7770 7777 7779 8000 8008 8014 8028 8080 8081 8082 8085 8088 8090 8118 8123 8180 8181 8222 8243 8280 8300 8500 8509 8800 8888 8899 9000 9060 9080 9090 9091 9111 9443 9999 10000 11371 12601 15489 29991 33300 34412 34443 34444 41080 44449 50000 50002 51423
 53331 55252 55555 56712 } \<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have a local rule to reduce the number of errors but I would rather not have to do that<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># This is to reduce the number of 'unknown method' http alerts<o:p></o:p></p>
<p class="MsoNormal">event_filter gen_id 119, sig_id 31, type limit, track by_src, count 1, seconds 10<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I feel that squid proxy is so common that there should be a standard setting for this but at the moment I just can’t find it.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">If I delete port 3128 from the list of ports then the rule is not applied but I don’t think that is what we want.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks<o:p></o:p></p>
<p> <o:p></o:p></p>
<p><span style="font-size:10.0pt;font-family:"Calibri","sans-serif"">The Manheim group of companies within the UK comprises: Manheim Europe Limited (registered number: 03183918), Manheim Auctions Limited (registered number: 00448761), Manheim Retail Services
 Limited (registered number: 02838588), Motors.co.uk Limited (registered number: 05975777), Real Time Communications Limited (registered number: 04277845) and Complete Automotive Solutions Limited (registered number: 05302535). Each of these companies is registered
 in England and Wales with the registered office address of Central House, Leeds Road, Rothwell, Leeds LS26 0JE. The Manheim group of companies operates under various brand/trading names including Manheim Inspection Services, Manheim Auctions, Manheim Direct,
 Manheim De-fleet and Manheim Aftersales Solutions.</span> <o:p></o:p></p>
<p><span style="font-size:6.0pt;font-family:"Calibri","sans-serif"">V:0CF72C13B2AC<o:p></o:p></span></p>
<p> <o:p></o:p></p>
</div>
</body>
</html>