<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Yes, that is the correct interface, thanks.<div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On May 7, 2015, at 12:25 PM, Joel Esler (jesler) <<a href="mailto:jesler@...589..." class="">jesler@...15110...89...</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" class="">

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
You’ve specified the interface as "eno1”.  Is that the correct interface on Fedora?
<div class=""><br class="">
</div>
<div class=""><span style="font-size: 12px; font-family: 'Lucida Grande';" class="">--</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class=""><b class="">Joel Esler</b></span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Open Source Manager</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Threat Intelligence Team Lead</span><br class="">
<span style="font-size: 12px; font-family: 'Lucida Grande';" class="">Talos Group</span></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font></div>
<div class=""><font face="Lucida Grande" class=""><br class="">
</font>
<div class="">
<blockquote type="cite" class="">
<div class="">On May 7, 2015, at 9:37 AM, snort_user <<a href="mailto:redcrosse@...3147..." class="">redcrosse@...3147...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">Hello,<br class="">
<br class="">
I'm trying to install and run Snort 2.9.7 on Fedora 21.  The Snort<br class="">
installation appears to work fine.  When I try to test Snort using<br class="">
the ./snort -T -i eno1 -u snort -g snort -c /etc/snort/snort.conf<br class="">
command, it fails with the following output:<br class="">
Rule application order:<br class="">
activation->dynamic->pass->drop->sdrop->reject->alert->log<br class="">
Verifying Preprocessor Configurations!<br class="">
pcap DAQ configured to passive.<br class="">
Acquiring network traffic from "eno1".<br class="">
ERROR: Cannot set gid: 1001<br class="">
Fatal Error, Quitting..<br class="">
<br class="">
If I try to run Snort using the ./snort -A fast -b -d -i eno1 -u snort<br class="">
-g snort -c /etc/snort/snort.conf -l /var/log/snort command, it fails<br class="">
with the following output:<br class="">
Rule application order:<br class="">
activation->dynamic->pass->drop->sdrop->reject->alert->log<br class="">
Verifying Preprocessor Configurations!<br class="">
pcap DAQ configured to passive.<br class="">
Acquiring network traffic from "eno1".<br class="">
Reload thread starting...<br class="">
Reload thread started, thread 0x7f4d14672700 (10779)<br class="">
ERROR: Can't start DAQ (-1) - socket: Operation not permitted!<br class="">
Fatal Error, Quitting..<br class="">
<br class="">
Obviously, there is a problem with the configuration somewhere.  I<br class="">
followed the instructions at<br class="">
<a href="https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/059/original/snort-fedora17-18-19-2970.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1426107376&Signature=V9TkUOJ10YRVOyfpNw8LnujC8Xo%3D" class="">https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/000/059/original/snort-fedora17-18-19-2970.pdf?AWSAccessKeyId=AKIAIXACIED2SPMSC7GA&Expires=1426107376&Signature=V9TkUOJ10YRVOyfpNw8LnujC8Xo%3D</a>.
 without success.  I searched for similar errors on the Internet, but have not found a solution.  Running the commands above as root produces the same results.  No information is written to the /var/log/messages or /var/log/snort logs.  <br class="">
<br class="">
The complete snort.conf file is below.  Any help would be appreciated.  <br class="">
<br class="">
Thanks,<br class="">
<br class="">
Redcrosse<br class="">
<br class="">
Here is the config file:<br class="">
#--------------------------------------------------<br class="">
#   VRT Rule Packages Snort.conf<br class="">
#<br class="">
#   For more information visit us at:<br class="">
#     <a href="http://www.snort.org/" class="">http://www.snort.org</a>                   Snort Website<br class="">
#     <a href="http://vrt-blog.snort.org/" class="">http://vrt-blog.snort.org/</a>    Sourcefire VRT Blog<br class="">
#<br class="">
#     Mailing list Contact:      <a href="mailto:snort-sigs@lists.sourceforge.net" class="">snort-sigs@lists.sourceforge.net</a><br class="">
#     False Positive reports:    <a href="mailto:fp@...1935..." class="">fp@...1935...</a><br class="">
#     Snort bugs:                <a href="mailto:bugs@...950..." class="">bugs@...950...</a><br class="">
#<br class="">
#     Compatible with Snort Versions:<br class="">
#     VERSIONS : 2.9.7.0<br class="">
#<br class="">
#     Snort build options:<br class="">
#     OPTIONS : --enable-gre --enable-mpls --enable-targetbased<br class="">
--enable-ppm --enable-perfprofil<br class="">
ing --enable-zlib --enable-active-response --enable-normalizer<br class="">
--enable-reload --enable-react --<br class="">
enable-flexresp3<br class="">
#<br class="">
#     Additional information:<br class="">
#     This configuration file enables active response, to run snort in<br class="">
#     test mode -T you are required to supply an interface -i<br class="">
<interface><br class="">
#     or test mode will fail to fully validate the configuration and<br class="">
#     exit with a FATAL error<br class="">
#--------------------------------------------------<br class="">
<br class="">
###################################################<br class="">
# This file contains a sample snort configuration. <br class="">
# You should take the following steps to create your own custom<br class="">
configuration:<br class="">
#<br class="">
#  1) Set the network variables.<br class="">
#  2) Configure the decoder<br class="">
#  3) Configure the base detection engine<br class="">
#  4) Configure dynamic loaded libraries<br class="">
#  5) Configure preprocessors<br class="">
#  6) Configure output plugins<br class="">
#  7) Customize your rule set<br class="">
#  8) Customize preprocessor and decoder rule set<br class="">
#  9) Customize shared object rule set<br class="">
###################################################<br class="">
<br class="">
###################################################<br class="">
# Step #1: Set the network variables.  For more information, see<br class="">
README.variables<br class="">
###################################################<br class="">
<br class="">
# Setup the network addresses you are protecting<br class="">
var HOME_NET 192.168.2.0/24<br class="">
<br class="">
# Set up the external network addresses. Leave as "any" in most<br class="">
situations<br class="">
var EXTERNAL_NET $HOME_NET<br class="">
<br class="">
# List of DNS servers on your network <br class="">
var DNS_SERVERS $HOME_NET<br class="">
<br class="">
# List of SMTP servers on your network<br class="">
var SMTP_SERVERS $HOME_NET<br class="">
<br class="">
# List of web servers on your network<br class="">
var HTTP_SERVERS $HOME_NET<br class="">
<br class="">
# List of sql servers on your network <br class="">
var SQL_SERVERS $HOME_NET<br class="">
<br class="">
# List of telnet servers on your network<br class="">
var TELNET_SERVERS $HOME_NET<br class="">
<br class="">
# List of ssh servers on your network<br class="">
var SSH_SERVERS $HOME_NET<br class="">
<br class="">
# List of ftp servers on your network<br class="">
var FTP_SERVERS $HOME_NET<br class="">
<br class="">
# List of sip servers on your network<br class="">
var SIP_SERVERS $HOME_NET<br class="">
<br class="">
# List of ports you run web servers on<br class="">
portvar HTTP_PORTS<br class="">
[80,81,311,383,591,593,901,1220,1414,1741,1830,2301,2381,2809,3037,3128,3702,<br class="">
4343,4848,5250,6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8028,8080,8085,8088,8090,8<br class="">
118,8123,8180,8181,8243,8280,8300,8800,8888,8899,9000,9060,9080,9090,9091,9443,9999,11371,34443,<br class="">
34444,41080,50002,55555]<br class="">
<br class="">
# List of ports you want to look for SHELLCODE on.<br class="">
portvar SHELLCODE_PORTS !80<br class="">
<br class="">
# List of ports you might see oracle attacks on<br class="">
portvar ORACLE_PORTS 1024:<br class="">
<br class="">
# List of ports you want to look for SSH connections on:<br class="">
portvar SSH_PORTS 22<br class="">
<br class="">
# List of ports you run ftp servers on<br class="">
portvar FTP_PORTS [21,2100,3535]<br class="">
<br class="">
# List of ports you run SIP servers on<br class="">
portvar SIP_PORTS [5060,5061,5600]<br class="">
<br class="">
# List of file data ports for file inspection<br class="">
portvar FILE_DATA_PORTS [$HTTP_PORTS,110,143]<br class="">
<br class="">
# List of GTP ports for GTP preprocessor<br class="">
portvar GTP_PORTS [2123,2152,3386]<br class="">
<br class="">
# other variables, these should not be modified<br class="">
ipvar AIM_SERVERS<br class="">
[64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.<br class="">
188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.18<br class="">
8.248.0/24]<br class="">
<br class="">
# Path to your rules files (this can be a relative path)<br class="">
# Note for Windows users:  You are advised to make this an absolute<br class="">
path,<br class="">
# such as:  c:\snort\rules<br class="">
var RULE_PATH rules<br class="">
var SO_RULE_PATH so_rules<br class="">
var PREPROC_RULE_PATH preproc_rules<br class="">
<br class="">
# If you are using reputation preprocessor set these<br class="">
# Currently there is a bug with relative paths, they are relative to<br class="">
where snort is<br class="">
# not relative to snort.conf like the above variables<br class="">
# This is completely inconsistent with how other vars work, BUG 89986<br class="">
# Set the absolute path appropriately<br class="">
var WHITE_LIST_PATH rules<br class="">
var BLACK_LIST_PATH rules<br class="">
<br class="">
###################################################<br class="">
# Step #2: Configure the decoder.  For more information, see<br class="">
README.decode<br class="">
###################################################<br class="">
<br class="">
# Stop generic decode events:<br class="">
config disable_decode_alerts<br class="">
<br class="">
# Stop Alerts on experimental TCP options<br class="">
config disable_tcpopt_experimental_alerts<br class="">
<br class="">
# Stop Alerts on obsolete TCP options<br class="">
config disable_tcpopt_obsolete_alerts<br class="">
<br class="">
# Stop Alerts on T/TCP alerts<br class="">
config disable_tcpopt_ttcp_alerts<br class="">
<br class="">
# Stop Alerts on all other TCPOption type events:<br class="">
config disable_tcpopt_alerts<br class="">
<br class="">
# Stop Alerts on invalid ip options<br class="">
config disable_ipopt_alerts<br class="">
<br class="">
# Alert if value in length field (IP, TCP, UDP) is greater th elength of<br class="">
the packet<br class="">
# config enable_decode_oversized_alerts<br class="">
<br class="">
# Same as above, but drop packet if in Inline mode (requires<br class="">
enable_decode_oversized_alerts)<br class="">
# config enable_decode_oversized_drops<br class="">
<br class="">
# Configure IP / TCP checksum mode<br class="">
config checksum_mode: all<br class="">
<br class="">
# Configure maximum number of flowbit references.  For more information,<br class="">
see README.flowbits<br class="">
# config flowbits_size: 64<br class="">
<br class="">
# Configure ports to ignore <br class="">
# config ignore_ports: tcp 21 6667:6671 1356<br class="">
# config ignore_ports: udp 1:17 53<br class="">
<br class="">
# Configure active response for non inline operation. For more<br class="">
information, see REAMDE.active<br class="">
# config response: eth0 attempts 2<br class="">
<br class="">
# Configure DAQ related options for inline operation. For more<br class="">
information, see README.daq<br class="">
#<br class="">
# config daq: <type><br class="">
# config daq_dir: <dir><br class="">
# config daq_mode: <mode><br class="">
# config daq_var: <var><br class="">
#<br class="">
# <type> ::= pcap | afpacket | dump | nfq | ipq | ipfw<br class="">
# <mode> ::= read-file | passive | inline<br class="">
# <var> ::= arbitrary <name>=<value passed to DAQ<br class="">
# <dir> ::= path as to where to look for DAQ module so's<br class="">
<br class="">
# Configure specific UID and GID to run snort as after dropping privs.<br class="">
For more information see <br class="">
snort -h command line options<br class="">
#<br class="">
# config set_gid:<br class="">
# config set_uid:<br class="">
<br class="">
# Configure default snaplen. Snort defaults to MTU of in use interface.<br class="">
For more information see<br class="">
README<br class="">
#<br class="">
# config snaplen:<br class="">
#<br class="">
<br class="">
# Configure default bpf_file to use for filtering what traffic reaches<br class="">
snort. For more informati<br class="">
on see snort -h command line options (-F)<br class="">
#<br class="">
# config bpf_file:<br class="">
#<br class="">
<br class="">
# Configure default log directory for snort to log to.  For more<br class="">
information see snort -h comman<br class="">
d line options (-l)<br class="">
#<br class="">
# config logdir:<br class="">
<br class="">
<br class="">
###################################################<br class="">
# Step #3: Configure the base detection engine.  For more information,<br class="">
see  README.decode<br class="">
###################################################<br class="">
<br class="">
# Configure PCRE match limitations<br class="">
config pcre_match_limit: 3500<br class="">
config pcre_match_limit_recursion: 1500<br class="">
<br class="">
# Configure the detection engine  See the Snort Manual, Configuring<br class="">
Snort - Includes - Config<br class="">
config detection: search-method ac-split search-optimize max-pattern-len<br class="">
20<br class="">
<br class="">
# Configure the event queue.  For more information, see<br class="">
README.event_queue<br class="">
config event_queue: max_queue 8 log 5 order_events content_length<br class="">
<br class="">
###################################################<br class="">
## Configure GTP if it is to be used.<br class="">
## For more information, see README.GTP<br class="">
####################################################<br class="">
<br class="">
# config enable_gtp<br class="">
<br class="">
###################################################<br class="">
# Per packet and rule latency enforcement<br class="">
# For more information see README.ppm<br class="">
###################################################<br class="">
<br class="">
# Per Packet latency configuration<br class="">
#config ppm: max-pkt-time 250, \<br class="">
#   fastpath-expensive-packets, \<br class="">
#   pkt-log<br class="">
<br class="">
# Per Rule latency configuration<br class="">
#config ppm: max-rule-time 200, \<br class="">
#   threshold 3, \<br class="">
#   suspend-expensive-rules, \<br class="">
#   suspend-timeout 20, \<br class="">
#   rule-log alert<br class="">
<br class="">
###################################################<br class="">
# Configure Perf Profiling for debugging<br class="">
# For more information see README.PerfProfiling<br class="">
###################################################<br class="">
<br class="">
#config profile_rules: print all, sort avg_ticks<br class="">
#config profile_preprocs: print all, sort avg_ticks<br class="">
<br class="">
###################################################<br class="">
# Configure protocol aware flushing<br class="">
# For more information see README.stream5<br class="">
###################################################<br class="">
config paf_max: 16000<br class="">
<br class="">
###################################################<br class="">
# Step #4: Configure dynamic loaded libraries.  <br class="">
# For more information, see Snort Manual, Configuring Snort - Dynamic<br class="">
Modules<br class="">
###################################################<br class="">
<br class="">
# path to dynamic preprocessor libraries<br class="">
dynamicpreprocessor<br class="">
directory /usr/lib64/snort-2.9.7.0_dynamicpreprocessor/<br class="">
<br class="">
# path to base preprocessor engine<br class="">
dynamicengine /usr/lib64/snort-2.9.7.0_dynamicengine/libsf_engine.so<br class="">
<br class="">
# path to dynamic rules libraries<br class="">
dynamicdetection directory /usr/local/lib/snort_dynamicrules<br class="">
<br class="">
###################################################<br class="">
# Step #5: Configure preprocessors<br class="">
# For more information, see the Snort Manual, Configuring Snort -<br class="">
Preprocessors<br class="">
###################################################<br class="">
<br class="">
# GTP Control Channle Preprocessor. For more information, see README.GTP<br class="">
# preprocessor gtp: ports { 2123 3386 2152 }<br class="">
<br class="">
# Inline packet normalization. For more information, see<br class="">
README.normalize<br class="">
# Does nothing in IDS mode<br class="">
preprocessor normalize_ip4: [df], [rf]<br class="">
preprocessor normalize_tcp: \<br class="">
preprocessor normalize_icmp4<br class="">
preprocessor normalize_ip6<br class="">
preprocessor normalize_icmp6<br class="">
<br class="">
# Target-based IP defragmentation.  For more inforation, see<br class="">
README.frag3<br class="">
preprocessor frag3_global: max_frags 65536<br class="">
preprocessor frag3_engine: policy windows detect_anomalies overlap_limit<br class="">
10 min_fragment_length <br class="">
100 timeout 180<br class="">
<br class="">
# Target-Based stateful inspection/stream reassembly.  For more<br class="">
inforation, see README.stream5<br class="">
preprocessor stream5_global: track_tcp yes, \<br class="">
  track_udp yes, \<br class="">
  track_icmp no, \ <br class="">
  max_tcp 262144, \<br class="">
  max_udp 131072, \<br class="">
  max_active_responses 2, \<br class="">
  min_response_seconds 5<br class="">
preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs<br class="">
180, \<br class="">
  overlap_limit 10, small_segments 3 bytes 150, timeout 180, \<br class="">
   ports client 21 22 23 25 42 53 79 109 110 111 113 119 135 136 137<br class="">
139 143 \<br class="">
       161 445 513 514 587 593 691 1433 1521 1741 2100 3306 6070 6665<br class="">
6666 6667 6668 6669 \<br class="">
       7000 8181 32770 32771 32772 32773 32774 32775 32776 32777 32778<br class="">
32779, \<br class="">
   ports both 80 81 311 383 443 465 563 591 593 636 901 989 992 993 994<br class="">
995 1220 1414 1830 2301<br class="">
2381 2809 3037 3128 3702 4343 4848 5250 6988 7907 7000 7001 7144 7145<br class="">
7510 7802 7777 7779 \<br class="">
       7801 7900 7901 7902 7903 7904 7905 7906 7908 7909 7910 7911 7912<br class="">
7913 7914 7915 7916 \<br class="">
       7917 7918 7919 7920 8000 8008 8014 8028 8080 8085 8088 8090 8118<br class="">
8123 8180 8243 8280 830<br class="">
0 8800 8888 8899 9000 9060 9080 9090 9091 9443 9999 11371 34443 34444<br class="">
41080 50002 55555<br class="">
preprocessor stream5_udp: timeout 180<br class="">
<br class="">
# performance statistics.  For more information, see the Snort Manual,<br class="">
Configuring Snort - Prepr<br class="">
ocessors - Performance Monitor<br class="">
# preprocessor perfmonitor: time 300 file /var/snort/snort.stats pktcnt<br class="">
10000<br class="">
<br class="">
# HTTP normalization and anomaly detection.  For more information, see<br class="">
README.http_inspect<br class="">
preprocessor http_inspect: global iis_unicode_map unicode.map 1252<br class="">
compress_depth 65535 decompre<br class="">
ss_depth 65535<br class="">
preprocessor http_inspect_server: server default \<br class="">
   http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK<br class="">
NOTIFY POLL BCOPY BDELETE BMO<br class="">
VE LINK UNLINK OPTIONS HEAD DELETE TRACE TRACK CONNECT SOURCE SUBSCRIBE<br class="">
UNSUBSCRIBE PROPFIND PRO<br class="">
PPATCH BPROPFIND BPROPPATCH RPC_CONNECT PROXY_SUCCESS BITS_POST CCM_POST<br class="">
SMS_POST RPC_IN_DATA RP<br class="">
C_OUT_DATA RPC_ECHO_DATA } \<br class="">
   chunk_length 500000 \<br class="">
   server_flow_depth 0 \<br class="">
   client_flow_depth 0 \<br class="">
   post_depth 65495 \<br class="">
   oversize_dir_length 500 \<br class="">
   max_header_length 750 \<br class="">
   max_headers 100 \<br class="">
   max_spaces 200 \<br class="">
   small_chunk_length { 10 5 } \<br class="">
   ports { 80 81 311 383 591 593 901 1220 1414 1741 1830 2301 2381 2809<br class="">
3037 3128 3702 4343 484<br class="">
8 5250 6988 7000 7001 7144 7145 7510 7777 7779 8000 8008 8014 8028 8080<br class="">
8085 8088 8090 8118 8123<br class="">
8180 8181 8243 8280 8300 8800 8888 8899 9000 9060 9080 9090 9091 9443<br class="">
9999 11371 34443 34444 41<br class="">
080 50002 55555 } \<br class="">
   non_rfc_char { 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 } \<br class="">
   enable_cookie \<br class="">
   extended_response_inspection \<br class="">
   inspect_gzip \<br class="">
   normalize_utf \<br class="">
   unlimited_decompress \<br class="">
   normalize_javascript \<br class="">
   apache_whitespace no \<br class="">
   ascii no \<br class="">
   bare_byte no \<br class="">
   directory no \<br class="">
   double_decode no \<br class="">
   iis_backslash no \<br class="">
   iis_delimiter no \<br class="">
   iis_unicode no \<br class="">
   multi_slash no \<br class="">
   utf_8 no \<br class="">
   u_encode yes \<br class="">
   webroot no<br class="">
<br class="">
# ONC-RPC normalization and anomaly detection.  For more information,<br class="">
see the Snort Manual, Conf<br class="">
iguring Snort - Preprocessors - RPC Decode<br class="">
preprocessor rpc_decode: 111 32770 32771 32772 32773 32774 32775 32776<br class="">
32777 32778 32779 no_aler<br class="">
t_multiple_requests no_alert_large_fragments no_alert_incomplete<br class="">
<br class="">
# Back Orifice detection.<br class="">
preprocessor bo<br class="">
<br class="">
# FTP / Telnet normalization and anomaly detection.  For more<br class="">
information, see README.ftptelnet<br class="">
preprocessor ftp_telnet: global inspection_type stateful<br class="">
encrypted_traffic no check_encrypted<br class="">
preprocessor ftp_telnet_protocol: telnet \<br class="">
   ayt_attack_thresh 20 \<br class="">
   normalize ports { 23 } \<br class="">
   detect_anomalies<br class="">
preprocessor ftp_telnet_protocol: ftp server default \<br class="">
   def_max_param_len 100 \<br class="">
   ports { 21 2100 3535 } \<br class="">
   telnet_cmds yes \<br class="">
   ignore_telnet_erase_cmds yes \<br class="">
   ftp_cmds { ABOR ACCT ADAT ALLO APPE AUTH CCC CDUP } \<br class="">
   ftp_cmds { CEL CLNT CMD CONF CWD DELE ENC EPRT } \<br class="">
   ftp_cmds { EPSV ESTA ESTP FEAT HELP LANG LIST LPRT } \<br class="">
   ftp_cmds { LPSV MACB MAIL MDTM MIC MKD MLSD MLST } \<br class="">
   ftp_cmds { MODE NLST NOOP OPTS PASS PASV PBSZ PORT } \<br class="">
   ftp_cmds { PROT PWD QUIT REIN REST RETR RMD RNFR } \<br class="">
   ftp_cmds { RNTO SDUP SITE SIZE SMNT STAT STOR STOU } \<br class="">
   ftp_cmds { STRU SYST TEST TYPE USER XCUP XCRC XCWD } \<br class="">
   ftp_cmds { XMAS XMD5 XMKD XPWD XRCP XRMD XRSQ XSEM } \<br class="">
   ftp_cmds { XSEN XSHA1 XSHA256 } \<br class="">
   alt_max_param_len 0 { ABOR CCC CDUP ESTA FEAT LPSV NOOP PASV PWD<br class="">
QUIT REIN STOU SYST XCUP XP<br class="">
WD } \<br class="">
   alt_max_param_len 200 { ALLO APPE CMD HELP NLST RETR RNFR STOR STOU<br class="">
XMKD } \<br class="">
   alt_max_param_len 256 { CWD RNTO } \<br class="">
   alt_max_param_len 400 { PORT } \<br class="">
   alt_max_param_len 512 { SIZE } \<br class="">
   chk_str_fmt { ACCT ADAT ALLO APPE AUTH CEL CLNT CMD } \<br class="">
   chk_str_fmt { CONF CWD DELE ENC EPRT EPSV ESTP HELP } \<br class="">
   chk_str_fmt { LANG LIST LPRT MACB MAIL MDTM MIC MKD } \<br class="">
   chk_str_fmt { MLSD MLST MODE NLST OPTS PASS PBSZ PORT } \<br class="">
   chk_str_fmt { PROT REST RETR RMD RNFR RNTO SDUP SITE } \<br class="">
   chk_str_fmt { SIZE SMNT STAT STOR STRU TEST TYPE USER } \<br class="">
   chk_str_fmt { XCRC XCWD XMAS XMD5 XMKD XRCP XRMD XRSQ } \ <br class="">
   chk_str_fmt { XSEM XSEN XSHA1 XSHA256 } \<br class="">
   cmd_validity ALLO < int [ char R int ] > \    <br class="">
   cmd_validity EPSV < [ { char 12 | char A char L char L } ] > \<br class="">
   cmd_validity MACB < string > \<br class="">
   cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \<br class="">
   cmd_validity MODE < char ASBCZ > \<br class="">
   cmd_validity PORT < host_port > \<br class="">
   cmd_validity PROT < char CSEP > \<br class="">
   cmd_validity STRU < char FRPO [ string ] > \    <br class="">
   cmd_validity TYPE < { char AE [ char NTC ] | char I | char L<br class="">
[ number ] } ><br class="">
preprocessor ftp_telnet_protocol: ftp client default \<br class="">
   max_resp_len 256 \<br class="">
   bounce yes \<br class="">
   ignore_telnet_erase_cmds yes \<br class="">
   telnet_cmds yes<br class="">
<br class="">
<br class="">
# SMTP normalization and anomaly detection.  For more information, see<br class="">
README.SMTP<br class="">
preprocessor smtp: ports { 25 465 587 691 } \<br class="">
   inspection_type stateful \<br class="">
   b64_decode_depth 0 \<br class="">
   qp_decode_depth 0 \<br class="">
   bitenc_decode_depth 0 \<br class="">
   uu_decode_depth 0 \<br class="">
   log_mailfrom \<br class="">
   log_rcptto \<br class="">
   log_filename \<br class="">
   log_email_hdrs \<br class="">
   normalize cmds \<br class="">
   normalize_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM<br class="">
ESND ESOM ETRN EVFY } \<br class="">
   normalize_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT<br class="">
RSET SAML SEND SOML } \<br class="">
   normalize_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT<br class="">
X-DRCP X-ERCP X-EXCH50 } \<br class="">
   normalize_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN<br class="">
XLICENSE XQUE XSTA XTRN XU<br class="">
SR } \<br class="">
   max_command_line_len 512 \<br class="">
   max_header_line_len 1000 \<br class="">
   max_response_line_len 512 \<br class="">
   alt_max_command_line_len 260 { MAIL } \<br class="">
   alt_max_command_line_len 300 { RCPT } \<br class="">
   alt_max_command_line_len 500 { HELP HELO ETRN EHLO } \<br class="">
   alt_max_command_line_len 255 { EXPN VRFY ATRN SIZE BDAT DEBUG EMAL<br class="">
ESAM ESND ESOM EVFY IDENT<br class="">
NOOP RSET } \<br class="">
   alt_max_command_line_len 246 { SEND SAML SOML AUTH TURN ETRN DATA<br class="">
RSET QUIT ONEX QUEU STARTT<br class="">
LS TICK TIME TURNME VERB X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50<br class="">
XGEN XLICENSE XQUE XSTA XTR<br class="">
N XUSR } \<br class="">
   valid_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM ESND<br class="">
ESOM ETRN EVFY } \ <br class="">
   valid_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET<br class="">
SAML SEND SOML } \<br class="">
   valid_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT X-DRCP<br class="">
X-ERCP X-EXCH50 } \<br class="">
   valid_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN<br class="">
XLICENSE XQUE XSTA XTRN XUSR }<br class="">
\<br class="">
   xlink2state { enabled }<br class="">
<br class="">
# Portscan detection.  For more information, see README.sfportscan<br class="">
# preprocessor sfportscan: proto  { all } memcap { 10000000 }<br class="">
sense_level { low }<br class="">
<br class="">
# ARP spoof detection.  For more information, see the Snort Manual -<br class="">
Configuring Snort - Preproc<br class="">
essors - ARP Spoof Preprocessor<br class="">
# preprocessor arpspoof<br class="">
# preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00<br class="">
<br class="">
# SSH anomaly detection.  For more information, see README.ssh<br class="">
preprocessor ssh: server_ports { 22 } \<br class="">
                 autodetect \<br class="">
                 max_client_bytes 19600 \<br class="">
                 max_encrypted_packets 20 \<br class="">
                 max_server_version_len 100 \<br class="">
                 enable_respoverflow enable_ssh1crc32 \<br class="">
                 enable_srvoverflow enable_protomismatch<br class="">
<br class="">
# SMB / DCE-RPC normalization and anomaly detection.  For more<br class="">
information, see README.dcerpc2<br class="">
preprocessor dcerpc2: memcap 102400, events [co ]<br class="">
preprocessor dcerpc2_server: default, policy WinXP, \<br class="">
   detect [smb [139,445], tcp 135, udp 135, rpc-over-http-server 593],<br class="">
\<br class="">
   autodetect [tcp 1025:, udp 1025:, rpc-over-http-server 1025:], \<br class="">
   smb_max_chain 3, smb_invalid_shares ["C$", "D$", "ADMIN$"]<br class="">
<br class="">
# DNS anomaly detection.  For more information, see README.dns<br class="">
preprocessor dns: ports { 53 } enable_rdata_overflow<br class="">
<br class="">
# SSL anomaly detection and traffic bypass.  For more information, see<br class="">
README.ssl<br class="">
preprocessor ssl: ports { 443 465 563 636 989 992 993 994 995 7801 7802<br class="">
7900 7901 7902 7903 7904<br class="">
7905 7906 7907 7908 7909 7910 7911 7912 7913 7914 7915 7916 7917 7918<br class="">
7919 7920 }, trustservers<br class="">
, noinspect_encrypted<br class="">
<br class="">
# SDF sensitive data preprocessor.  For more information see<br class="">
README.sensitive_data<br class="">
preprocessor sensitive_data: alert_threshold 25<br class="">
<br class="">
# SIP Session Initiation Protocol preprocessor.  For more information<br class="">
see README.sip<br class="">
preprocessor sip: max_sessions 40000, \<br class="">
  ports { 5060 5061 5600 }, \<br class="">
  methods { invite \<br class="">
            cancel \<br class="">
            ack \<br class="">
            bye \<br class="">
            register \<br class="">
            options \<br class="">
            refer \<br class="">
            subscribe \<br class="">
            update \<br class="">
            join \<br class="">
            info \<br class="">
            message \<br class="">
            notify \<br class="">
            benotify \<br class="">
            do \<br class="">
            qauth \<br class="">
            sprack \<br class="">
            publish \<br class="">
            service \<br class="">
            unsubscribe \<br class="">
            prack }, \<br class="">
  max_uri_len 512, \<br class="">
  max_call_id_len 80, \<br class="">
  max_requestName_len 20, \<br class="">
  max_from_len 256, \<br class="">
  max_to_len 256, \<br class="">
  max_via_len 1024, \<br class="">
  max_contact_len 512, \<br class="">
  max_content_len 2048 <br class="">
<br class="">
# IMAP preprocessor.  For more information see README.imap<br class="">
preprocessor imap: \<br class="">
  ports { 143 } \<br class="">
  b64_decode_depth 0 \<br class="">
  qp_decode_depth 0 \<br class="">
  bitenc_decode_depth 0 \<br class="">
  uu_decode_depth 0<br class="">
<br class="">
# POP preprocessor. For more information see README.pop<br class="">
preprocessor pop: \<br class="">
  ports { 110 } \<br class="">
  b64_decode_depth 0 \<br class="">
  qp_decode_depth 0 \<br class="">
  bitenc_decode_depth 0 \<br class="">
  uu_decode_depth 0<br class="">
<br class="">
# Modbus preprocessor. For more information see README.modbus<br class="">
preprocessor modbus: ports { 502 }<br class="">
<br class="">
# DNP3 preprocessor. For more information see README.dnp3<br class="">
preprocessor dnp3: ports { 20000 } \<br class="">
  memcap 262144 \<br class="">
  check_crc<br class="">
<br class="">
# Reputation preprocessor. For more information see README.reputation<br class="">
preprocessor reputation: \<br class="">
  memcap 500, \<br class="">
  priority whitelist, \<br class="">
  nested_ip inner, \<br class="">
  whitelist $WHITE_LIST_PATH/white_list.rules, \<br class="">
  blacklist $BLACK_LIST_PATH/black_list.rules <br class="">
<br class="">
###################################################<br class="">
# Step #6: Configure output plugins<br class="">
# For more information, see Snort Manual, Configuring Snort - Output<br class="">
Modules<br class="">
###################################################<br class="">
<br class="">
# unified2 <br class="">
# Recommended for most installs<br class="">
# output unified2: filename merged.log, limit 128, nostamp,<br class="">
mpls_event_types, vlan_event_types<br class="">
<br class="">
# Additional configuration for specific types of installs<br class="">
# output alert_unified2: filename snort.alert, limit 128, nostamp<br class="">
# output log_unified2: filename snort.log, limit 128, nostamp <br class="">
<br class="">
# syslog<br class="">
# output alert_syslog: LOG_AUTH LOG_ALERT<br class="">
<br class="">
# pcap<br class="">
# output log_tcpdump: tcpdump.log<br class="">
<br class="">
# metadata reference data.  do not modify these lines<br class="">
include classification.config<br class="">
include reference.config<br class="">
<br class="">
<br class="">
###################################################<br class="">
# Step #7: Customize your rule set<br class="">
# For more information, see Snort Manual, Writing Snort Rules<br class="">
#<br class="">
# NOTE: All categories are enabled in this conf file<br class="">
###################################################<br class="">
<br class="">
# site specific rules<br class="">
include $RULE_PATH/local.rules<br class="">
<br class="">
include $RULE_PATH/app-detect.rules<br class="">
include $RULE_PATH/attack-responses.rules<br class="">
include $RULE_PATH/backdoor.rules<br class="">
include $RULE_PATH/bad-traffic.rules<br class="">
include $RULE_PATH/blacklist.rules<br class="">
include $RULE_PATH/botnet-cnc.rules<br class="">
include $RULE_PATH/browser-chrome.rules<br class="">
include $RULE_PATH/browser-firefox.rules<br class="">
include $RULE_PATH/browser-ie.rules<br class="">
include $RULE_PATH/browser-other.rules<br class="">
include $RULE_PATH/browser-plugins.rules<br class="">
include $RULE_PATH/browser-webkit.rules<br class="">
include $RULE_PATH/chat.rules<br class="">
include $RULE_PATH/content-replace.rules<br class="">
include $RULE_PATH/ddos.rules<br class="">
include $RULE_PATH/dns.rules<br class="">
include $RULE_PATH/dos.rules<br class="">
include $RULE_PATH/experimental.rules<br class="">
include $RULE_PATH/exploit-kit.rules<br class="">
include $RULE_PATH/exploit.rules<br class="">
include $RULE_PATH/file-executable.rules<br class="">
include $RULE_PATH/file-flash.rules<br class="">
include $RULE_PATH/file-identify.rules<br class="">
include $RULE_PATH/file-image.rules<br class="">
include $RULE_PATH/file-multimedia.rules<br class="">
include $RULE_PATH/file-office.rules<br class="">
include $RULE_PATH/file-other.rules<br class="">
include $RULE_PATH/file-pdf.rules<br class="">
include $RULE_PATH/finger.rules<br class="">
include $RULE_PATH/ftp.rules<br class="">
include $RULE_PATH/icmp-info.rules<br class="">
include $RULE_PATH/icmp.rules<br class="">
include $RULE_PATH/imap.rules<br class="">
include $RULE_PATH/indicator-compromise.rules<br class="">
include $RULE_PATH/indicator-obfuscation.rules<br class="">
include $RULE_PATH/indicator-shellcode.rules<br class="">
include $RULE_PATH/info.rules<br class="">
include $RULE_PATH/malware-backdoor.rules<br class="">
include $RULE_PATH/malware-cnc.rules<br class="">
include $RULE_PATH/malware-other.rules<br class="">
include $RULE_PATH/malware-tools.rules<br class="">
include $RULE_PATH/misc.rules<br class="">
include $RULE_PATH/multimedia.rules<br class="">
include $RULE_PATH/mysql.rules<br class="">
include $RULE_PATH/netbios.rules<br class="">
include $RULE_PATH/nntp.rules<br class="">
include $RULE_PATH/oracle.rules<br class="">
include $RULE_PATH/os-linux.rules<br class="">
include $RULE_PATH/os-other.rules<br class="">
include $RULE_PATH/os-solaris.rules<br class="">
include $RULE_PATH/os-windows.rules<br class="">
include $RULE_PATH/other-ids.rules<br class="">
include $RULE_PATH/p2p.rules<br class="">
include $RULE_PATH/phishing-spam.rules<br class="">
include $RULE_PATH/policy-multimedia.rules<br class="">
include $RULE_PATH/policy-other.rules<br class="">
include $RULE_PATH/policy.rules<br class="">
include $RULE_PATH/policy-social.rules<br class="">
include $RULE_PATH/policy-spam.rules<br class="">
include $RULE_PATH/pop2.rules<br class="">
include $RULE_PATH/pop3.rules<br class="">
include $RULE_PATH/protocol-finger.rules<br class="">
include $RULE_PATH/protocol-ftp.rules<br class="">
include $RULE_PATH/protocol-icmp.rules<br class="">
include $RULE_PATH/protocol-imap.rules<br class="">
include $RULE_PATH/protocol-pop.rules<br class="">
include $RULE_PATH/protocol-services.rules<br class="">
include $RULE_PATH/protocol-voip.rules<br class="">
include $RULE_PATH/pua-adware.rules<br class="">
include $RULE_PATH/pua-other.rules<br class="">
include $RULE_PATH/pua-p2p.rules<br class="">
include $RULE_PATH/pua-toolbars.rules<br class="">
include $RULE_PATH/rpc.rules<br class="">
include $RULE_PATH/rservices.rules<br class="">
include $RULE_PATH/scada.rules<br class="">
include $RULE_PATH/scan.rules<br class="">
include $RULE_PATH/server-apache.rules<br class="">
include $RULE_PATH/server-iis.rules<br class="">
include $RULE_PATH/server-mail.rules<br class="">
include $RULE_PATH/server-mssql.rules<br class="">
include $RULE_PATH/server-mysql.rules<br class="">
include $RULE_PATH/server-oracle.rules<br class="">
include $RULE_PATH/server-other.rules<br class="">
include $RULE_PATH/server-webapp.rules<br class="">
include $RULE_PATH/shellcode.rules<br class="">
include $RULE_PATH/smtp.rules<br class="">
include $RULE_PATH/snmp.rules<br class="">
include $RULE_PATH/specific-threats.rules<br class="">
include $RULE_PATH/spyware-put.rules<br class="">
include $RULE_PATH/sql.rules<br class="">
include $RULE_PATH/telnet.rules<br class="">
include $RULE_PATH/tftp.rules<br class="">
include $RULE_PATH/virus.rules<br class="">
include $RULE_PATH/voip.rules<br class="">
include $RULE_PATH/web-activex.rules<br class="">
include $RULE_PATH/web-attacks.rules<br class="">
include $RULE_PATH/web-cgi.rules<br class="">
include $RULE_PATH/web-client.rules<br class="">
include $RULE_PATH/web-coldfusion.rules<br class="">
include $RULE_PATH/web-frontpage.rules<br class="">
include $RULE_PATH/web-iis.rules<br class="">
include $RULE_PATH/web-misc.rules<br class="">
include $RULE_PATH/web-php.rules<br class="">
include $RULE_PATH/x11.rules<br class="">
<br class="">
###################################################<br class="">
# Step #8: Customize your preprocessor and decoder alerts<br class="">
# For more information, see README.decoder_preproc_rules<br class="">
###################################################<br class="">
<br class="">
# decoder and preprocessor event rules<br class="">
# include $PREPROC_RULE_PATH/preprocessor.rules<br class="">
# include $PREPROC_RULE_PATH/decoder.rules<br class="">
# include $PREPROC_RULE_PATH/sensitive-data.rules<br class="">
<br class="">
###################################################<br class="">
# Step #9: Customize your Shared Object Snort Rules<br class="">
# For more information, see<br class="">
<a href="http://vrt-blog.snort.org/2009/01/using-vrt-certified-shared-object-" class="">http://vrt-blog.snort.org/2009/01/using-vrt-certified-shared-object-</a><br class="">
rules.html<br class="">
###################################################<br class="">
<br class="">
# dynamic library rules<br class="">
# include $SO_RULE_PATH/bad-traffic.rules<br class="">
# include $SO_RULE_PATH/chat.rules<br class="">
# include $SO_RULE_PATH/dos.rules<br class="">
# include $SO_RULE_PATH/exploit.rules<br class="">
# include $SO_RULE_PATH/icmp.rules<br class="">
# include $SO_RULE_PATH/imap.rules<br class="">
# include $SO_RULE_PATH/misc.rules<br class="">
# include $SO_RULE_PATH/multimedia.rules<br class="">
# include $SO_RULE_PATH/netbios.rules<br class="">
# include $SO_RULE_PATH/nntp.rules<br class="">
# include $SO_RULE_PATH/p2p.rules<br class="">
# include $SO_RULE_PATH/smtp.rules<br class="">
# include $SO_RULE_PATH/snmp.rules<br class="">
# include $SO_RULE_PATH/specific-threats.rules<br class="">
# include $SO_RULE_PATH/web-activex.rules<br class="">
# include $SO_RULE_PATH/web-client.rules<br class="">
# include $SO_RULE_PATH/web-iis.rules<br class="">
# include $SO_RULE_PATH/web-misc.rules<br class="">
<br class="">
# Event thresholding or suppression commands. See threshold.conf <br class="">
include threshold.conf<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
<br class="">
------------------------------------------------------------------------------<br class="">
One dashboard for servers and applications across Physical-Virtual-Cloud <br class="">
Widest out-of-the-box monitoring support with 50+ applications<br class="">
Performance metrics, stats and reports that give you Actionable Insights<br class="">
Deep dive visibility with transaction tracing using APM Insight.<br class="">
<a href="http://ad.doubleclick.net/ddm/clk/290420510;117567292;y" class="">http://ad.doubleclick.net/ddm/clk/290420510;117567292;y</a><br class="">
_______________________________________________<br class="">
Snort-users mailing list<br class="">
<a href="mailto:Snort-users@lists.sourceforge.net" class="">Snort-users@lists.sourceforge.net</a><br class="">
Go to this URL to change user options or unsubscribe:<br class="">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" class="">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br class="">
Snort-users list archive:<br class="">
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" class="">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br class="">
<br class="">
Please visit <a href="http://blog.snort.org" class="">http://blog.snort.org</a> to stay current on all the latest Snort news!<br class="">
</div>
</blockquote>
</div>
<br class="">
</div>
</div>

</div></blockquote></div><br class=""></div></body></html>