<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY LINK="#0000ff">
On Sat, 2015-03-21 at 17:01 +0000, Rodgers, Anthony (DTMB) wrote:
<BLOCKQUOTE TYPE=CITE>
    I’m not sure that Snort is the best tool for this – have you considered a DNS blackhole?<BR>
    <BR>
     <BR>
    <BR>
    --<BR>
    <BR>
    Anthony Rodgers<BR>
    <BR>
    Security Analyst<BR>
    <BR>
    Michigan Security Operations Center (MiSOC)<BR>
    <BR>
    DTMB, Michigan Cyber Security<BR>
    <BR>
     <BR>
    <BR>
    <B>From:</B> Rishabh Shah [mailto:rishabh420@...11827...] <BR>
    <B>Sent:</B> Friday, March 20, 2015 08:05<BR>
    <B>To:</B> snort-users@lists.sourceforge.net<BR>
    <B>Subject:</B> [Snort-users] Need an efficient way to generate rules for URL Filtering<BR>
    <BR>
     <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Hi Snort Team,<BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
     <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Hope you are doing well. <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
     <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    I have a database of 1000 URLs that I want to block using Snort. Do I need to create 1000 separate rules to block each of them? Wouldn't there be a performance hit if I have a separate rule for each one of them(consider my database increases to 10K URLs)? Any alternatives that could achieve my aim?<BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
     <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    FYI, this is how my rule looks today: <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    reject tcp any any -> any any (msg:"Blacklisted URL"; content:"<U><A HREF="http://youtube.com">youtube.com</A>"</U>; http_uri; react: msg;)<BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
     <BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    -- <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Regards,<BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
    Rishabh Shah.<BR>
    <BR>
    <BR>
</BLOCKQUOTE>
<BLOCKQUOTE TYPE=CITE>
<PRE>
------------------------------------------------------------------------------
Dive into the World of Parallel Programming The Go Parallel Website, sponsored
by Intel and developed in partnership with Slashdot Media, is your hub for all
things parallel software development, from weekly thought leadership blogs to
news, videos, case studies, tutorials and more. Take a look and join the 
conversation now. <A HREF="http://goparallel.sourceforge.net/">http://goparallel.sourceforge.net/</A>
_______________________________________________
Snort-users mailing list
<A HREF="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</A>
Go to this URL to change user options or unsubscribe:
<A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</A>
Snort-users list archive:
<A HREF="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</A>

Please visit <A HREF="http://blog.snort.org">http://blog.snort.org</A> to stay current on all the latest Snort news!
</PRE>
</BLOCKQUOTE>
<BR>
Ya that or run a proxy.<BR>
<BR>
James
</BODY>
</HTML>