<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Candara;
        panose-1:2 14 5 2 3 3 3 2 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Times;
        panose-1:2 2 6 3 5 4 5 2 3 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
tt
        {mso-style-priority:99;
        font-family:"Courier New";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Host attribute table info:<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><a href="http://manual.snort.org/node22.html">http://manual.snort.org/node22.html</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#1F497D">Albert Lewis<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span style="font-family:"Georgia","serif";color:red">fire</span></b><span style="font-family:"Georgia","serif";color:#999999">, Inc.
</span><span style="font-family:"Georgia","serif";color:#888888">now part of </span>
<b><span style="font-family:"Georgia","serif";color:#31849B">Cisco</span></b><span style="font-family:"Georgia","serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-family:"Candara","sans-serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span style="font-family:"Candara","sans-serif";color:#1F497D">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Email:
</span><span style="font-family:"Candara","sans-serif";color:#1F497D">allewi@...589...</span><span style="font-family:"Candara","sans-serif";color:#4F81BD"> </span><span style="font-family:"Candara","sans-serif";color:#1F497D"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Rafael Leiva-Ochoa [mailto:spawn@...17369...]
<br>
<b>Sent:</b> Sunday, December 06, 2015 1:58 PM<br>
<b>To:</b> paul meding<br>
<b>Cc:</b> Snort<br>
<b>Subject:</b> Re: [Snort-users] Understanding MetaData<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks Paul for the explanation. I guess what confuses me the most is that when I read the documentation, it's stated that I needed a host attribute table in order for the meta-data service to work. Is that still the case? The reason I
 ask is because I see a lot of signatures that have meta-data service, but there is no host attribute table that is created by snort when I compiled it. I only see an example attribute table that can be used in order to make custom attribute tables.<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"> I also don't understand how snort knows where the host attributes tables are if there's nothing in the configuration in the snort.conf that points to it.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I want to create custom signatures that can use metadata service in order to better accurately identify applications not based on port, but based on their behavior characteristics as you explained, but it doesn't seem to be working when
 I use Medela service on custom signatures.<br>
<br>
On Sunday, December 6, 2015, paul meding <<a href="mailto:medingtac@...11827...">medingtac@...11827...</a>> wrote:<o:p></o:p></p>
<div>
<p class="MsoNormal">Not snort answer per se but metadata is to bring context to network traffic.  Magic numbers can identify applications, filetypes, etc based upon the offsets that are used in their implementations.  in this way if someone renames for example
 a .zip file as a .abc to bypass filtering, metadata creation will still identify it as a .zip file due to the raw packets.  same way that if someone sends http traffic across a non http port ...it is still identified as http just over non standard port.  Snort
 can create and act off metadata as well as some other network free tools like netminer and RSA's investigator that you c an download and further see how metadata can make your analysis much more effective and make you a faster analyst.<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">meta can be used to identify filetypes, applications, geo, match domain malware lists, protocols, flags, payload statistics, so many things it would be impossible to list them all.  In snort it's used so even if traffic isnt on the typical
 port used by ssh for example, its still identified as such so it can't be fooled by our wonderful advanced adversaries we are looking to thwart.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Paul<o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Sun, Dec 6, 2015 at 11:53 AM, Rafael Leiva-Ochoa <<a href="javascript:_e(%7B%7D,'cvml','spawn@...17369...');" target="_blank">spawn@...17369...</a>> wrote:<o:p></o:p></p>
<p class="MsoNormal">Any takers...<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><br>
<br>
On Friday, December 4, 2015, Rafael Leiva-Ochoa <<a href="javascript:_e(%7B%7D,'cvml','spawn@...17369...');" target="_blank">spawn@...17369...</a>> wrote:<o:p></o:p></p>
<div>
<p class="MsoNormal">Hi All,<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">    I am trying to understand how "metadata: service http"  and other service types work.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I tried reading these documents:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="http://manual.snort.org/node323.html" target="_blank">http://manual.snort.org/node323.html</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">and <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="http://manual.snort.org/node22.html#targetbased" target="_blank">http://manual.snort.org/node22.html#targetbased</a><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">But, I am still a bit confused..: (<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">As I read, the document, it stated the following: "<span style="font-size:13.5pt;font-family:"Times","serif";color:black">The </span><tt><span style="font-size:10.0pt;color:black">service</span></tt><span style="font-size:13.5pt;font-family:"Times","serif";color:black"> Metadata
 Key is only meaningful when a Host Attribute Table is provided". </span><o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The confusing part is a lot of Talos signatures us "metadata: service http", but there is no Host Attribute Tables created for that by default when I installed snort. How are those signatures going to work without it?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">On the snort.conf there is no setting to tell snort to load the Attributes XML's. How is that done?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I also tried creating a custom rule on the local.rules file to better my understanding of "metadata service" using "ssh",  but it does not fire when I use it. It only works when I remove the "service ssh".<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">here is the rule:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p>alert tcp $HOME_NET any -> $HOME_NET 22 ( \<o:p></o:p></p>
<p>        msg:"SSH Brute Force Attempt"; \<o:p></o:p></p>
<p>        flow:established,to_server; \<o:p></o:p></p>
<p>        content:"SSH"; nocase; offset:0; depth:4; \<o:p></o:p></p>
<p>        detection_filter:track by_src, count 3, seconds 60; \<o:p></o:p></p>
<p>        sid:1000001; metadata:service ssh; rev:1;)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">My understanding of metadata is that it is used to detect that someone is using a service not based on the port, but based on what the protocol is exhibiting. From example, if I ssh to a server using port 4598, which is not a standard ssh
 port, the "metadata service ssh" will be able to see it is ssh even though I had port 22 on the signature for the destination port. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Any input and answers would be great.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Rafael<o:p></o:p></p>
</div>
</div>
</div>
</div>
<p class="MsoNormal"><br>
------------------------------------------------------------------------------<br>
Go from Idea to Many App Stores Faster with Intel(R) XDK<br>
Give your users amazing mobile app experiences with Intel(R) XDK.<br>
Use one codebase in this all-in-one HTML5 development environment.<br>
Design, debug & build mobile apps & 2D/3D high-impact games for multiple OSs.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=254741911&iu=/4140" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=254741911&iu=/4140</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="javascript:_e(%7B%7D,'cvml','Snort-users@lists.sourceforge.net');" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</body>
</html>