<html>
<head>
</head>
<body class='hmmessage'><div dir='ltr'>


<div dir="ltr">

<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style>
<div dir="ltr">My understanding is that the local rule thresholds takes precedence over the global ones.</div><div dir="ltr"><br></div><div dir="ltr">If you need a global threshold you can use something like:</div><div dir="ltr"><br></div><div dir="ltr">event_filter gen_id 0, sig_id 0, type limit, track by_src, count 1, seconds 60</div><div dir="ltr"><br></div><div dir="ltr">The "gen_id 0" "sid_id 0" will denote this event_filter as global. More information here:</div><div dir="ltr"><br></div><div dir="ltr"><a href="http://manual.snort.org/node19.html#SECTION00342000000000000000" target="_blank">http://manual.snort.org/node19.html#SECTION00342000000000000000</a></div><div dir="ltr"><br></div><div dir="ltr">Go over the paragraph above the examples section.</div><div dir="ltr"><br></div><div dir="ltr"><br><div><hr id="stopSpelling">From: jp.zurbrugg@...17137......<br>To: snort-users@lists.sourceforge.net<br>Date: Fri, 10 Apr 2015 08:54:24 -0400<br>Subject: [Snort-users] threshold.conf - event_filter dificulties.<br><br>

<style><!--
.ExternalClass .ecxhmmessage P {
padding:0px;
}

.ExternalClass body.ecxhmmessage {
font-size:12pt;
font-family:Calibri;
}

--></style>
<div dir="ltr">Hello everyone,<div><br></div><div>Current setup:</div><div><br></div><div>Ubuntu 12.04.5 LTS  3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux</div><div>Snort Version 2.9.7.2 GRE (Build 177)</div><div><div>Using PCRE version: 8.12 2011-01-15</div><div>Using ZLIB version: 1.2.3.4</div></div><div>Compile options: </div><div><div>./configure --enable-sourcefire</div><div>make</div><div>sudo make install</div></div><div><br></div><div>pulledpork was used to update rules, config:</div><div><br></div><div><div>rule_url=https://www.snort.org/reg-rules/|snortrules-snapshot.tar.gz|<oink code></div><div>rule_url=http://labs.snort.org/feeds/ip-filter.blf|IPBLACKLIST|open</div><div>rule_url=https://www.snort.org/reg-rules/|opensource.gz|<span style="font-size:12pt;"><oink code></span></div><div>rule_url=https://rules.emergingthreatspro.com/|emerging.rules.tar.gz|open</div><div>ignore=deleted.rules,experimental.rules,local.rules</div><div>temp_path=/tmp</div><div>rule_path=/etc/snort/rules/snort.rules</div><div>local_rules=/etc/snort/rules/local.rules</div><div>sid_msg=/etc/snort/sid-msg.map</div><div>sid_msg_version=2</div><div>sid_changelog=/var/log/sid_changes.log</div><div>sorule_path=/usr/local/lib/snort_dynamicrules/</div><div>snort_path=/usr/local/bin/snort</div><div>config_path=/etc/snort/snort.conf</div><div>distro=Ubuntu-10-4</div><div>black_list=/etc/snort/rules/iplists/default.blacklist</div><div>IPRVersion=/etc/snort/rules/iplists</div><div>snort_control=/usr/local/bin/snort_control</div><div> enablesid=/etc/snort/enablesid.conf</div><div> dropsid=/etc/snort/dropsid.conf</div><div> disablesid=/etc/snort/disablesid.conf</div><div> modifysid=/etc/snort/modifysid.conf</div><div>version=0.7.0</div></div><div><br></div><div>We are trying to setup a global event_filter in hopes of controlling the amount of duplicated events that get fired from the same src\dst per second.</div><div>We see a bunch of alerts being fired multiple times whithin the same timestamp.</div><div><br></div><div>Steps taken:</div><div>edit /etc/snort/threshold.conf:</div><div>-------add line: event_filter gen_id 0, sig_id 0, type limit, track by_src, count 1, seconds 15</div><div>**** We have also tried track by dst and also tried individual event_filter by rule gen\sig.</div><div>**** We have also tried using the deprecated 'threshold command'</div><div><br></div><div>edit /etc/snort/snort.conf</div><div>------ verify that we have this line added: include threshold.conf</div><div><br></div><div>Run snort with following command: snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0</div><div><br></div><div>Confirm we see the following lines in the output:</div><div><br></div><div><div><span style="font-size:12pt;">Apr 9</span> 09:22:15 nth-garbage snort[398]: +-----------------------[event-filter-global]----------------------------------</div><div><span style="font-size:12pt;">Apr 9</span> 09:22:15 nth-garbage snort[398]: | gen-id=global sig-id=global type=Limit     tracking=src count=1   seconds=15</div><div>Apr 9 09:22:15 nth-garbage snort[398]: +-----------------------[event-filter-local]-----------------------------------</div></div><div>******************************* VERY LONG LIST OF EVENT-FILTER RULES HERE **************************</div><div><br></div><div><br></div><div>We don't know what we are doing wrong. Events of the same rule get fired multiple times within the same second. Examples:</div><div><br></div><div><span title="ET INFO JAVA - Java Archive Download By Vulnerable Client">gen 1 \ sig 2014473 --- ET INFO JAVA - Java Archive Download By Vulnerable Client         </span></div><div>gen 1 \ sig 21646 ---<span style="font-size:12pt;">EXPLOIT-KIT Blackhole exploit kit landing page with specific structure[...]</span></div><div><span style="font-size:12pt;"><br></span></div><div><span style="font-size:12pt;">Which event_filter takes priority, a Global or a local event filter? </span></div><div><span style="font-size:12pt;"><br></span></div><div>Any tips would be greatly appreciated!</div><div><br></div><div>Thanks in advance.</div>                                          </div>
<br>------------------------------------------------------------------------------
BPM Camp - Free Virtual Workshop May 6th at 10am PDT/1PM EDT
Develop your own process in accordance with the BPMN 2 standard
Learn Process modeling best practices with Bonita BPM through live exercises
http://www.bonitasoft.com/be-part-of-it/events/bpm-camp-virtual- event?utm_
source=Sourceforge_BPM_Camp_5_6_15&utm_medium=email&utm_campaign=VA_SF<br>_______________________________________________
Snort-users mailing list
Snort-users@lists.sourceforge.net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!</div></div>
</div>
                                          </div></body>
</html>