Any takers...<span></span><br><br>On Friday, December 4, 2015, Rafael Leiva-Ochoa <<a href="mailto:spawn@...17369...">spawn@...17369...</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi All,<div><br></div><div>    I am trying to understand how "metadata: service http"  and other service types work.</div><div><br></div><div>I tried reading these documents:</div><div><br></div><div><a href="http://manual.snort.org/node323.html" target="_blank">http://manual.snort.org/node323.html</a><br></div><div><br></div><div>and </div><div><br></div><div><a href="http://manual.snort.org/node22.html#targetbased" target="_blank">http://manual.snort.org/node22.html#targetbased</a><br></div><div><br></div><div>But, I am still a bit confused..: (</div><div><br></div><div>As I read, the document, it stated the following: "<span style="color:rgb(0,0,0);font-family:Times;font-size:medium">The </span><tt style="color:rgb(0,0,0)">service</tt><span style="color:rgb(0,0,0);font-family:Times;font-size:medium"> Metadata Key is only meaningful when a Host Attribute Table is provided". </span></div><div><span style="color:rgb(0,0,0);font-family:Times;font-size:medium"><br></span></div><div>The confusing part is a lot of Talos signatures us "metadata: service http", but there is no Host Attribute Tables created for that by default when I installed snort. How are those signatures going to work without it?<br></div><div><br></div><div>On the snort.conf there is no setting to tell snort to load the Attributes XML's. How is that done?</div><div><br></div><div>I also tried creating a custom rule on the local.rules file to better my understanding of "metadata service" using "ssh",  but it does not fire when I use it. It only works when I remove the "service ssh".</div><div><br></div><div>here is the rule:</div><div><br></div><div>







<p><span>alert tcp $HOME_NET any -> $HOME_NET 22 ( \</span></p>
<p><span>        msg:"SSH Brute Force Attempt"; \</span></p>
<p><span>        flow:established,to_server; \</span></p>
<p><span>        content:"SSH"; nocase; offset:0; depth:4; \</span></p>
<p><span>        detection_filter:track by_src, count 3, seconds 60; \</span></p>
<p><span>        sid:1000001; metadata:service ssh; rev:1;)</span></p></div><div>My understanding of metadata is that it is used to detect that someone is using a service not based on the port, but based on what the protocol is exhibiting. From example, if I ssh to a server using port 4598, which is not a standard ssh port, the "metadata service ssh" will be able to see it is ssh even though I had port 22 on the signature for the destination port. </div><div><br></div><div>Any input and answers would be great.</div><div><br></div><div>Thanks,</div><div><br></div><div>Rafael</div></div>
</blockquote>