<div dir="ltr">Hi Albert,<div><br></div><div>Its working only with --daq dump mode.</div><div><br></div><div>Can you please try once with NFQ ? There is difference  snort mode i.e. daq type dump & nfq.</div><div>I observed Its not working for nfq.</div><div><br></div><div>Config NFQ setting to test:</div><div><br></div><div>Update firewall rule as mentioned below which will move traffic to NFQ 1 and attached is the snort conf file to work with NFQ 1.</div><div><br></div><div><div>iptables -t mangle -A PREROUTING -i eth0 -p tcp --dport 80 -j NFQUEUE --queue-num 1</div><div>iptables -t mangle -A POSTROUTING -o eth0 -p tcp --dport 80 -j NFQUEUE --queue-num 1</div></div><div><br></div><div>now run snort with following command :   snort -c /etc/snort/TEST_snort.conf -Q  -k none  -Acmg -H -U</div><div><br></div><div><br></div><div>now try curl to access url.</div><div><br></div><div><div># curl <a href="http://google.co.in">google.co.in</a></div><div><br></div><div><br></div></div><div><br></div><div><br></div><div>Please check which rules get triggered.</div><div><br></div><div>Here I see "established" keyword rules does not hit and only rule - drop tcp any any <> any any (msg:"NO FLOW";content:"GET";nocase; react:msg;sid:4; ) gets triggered but no react message sent because of connection was not established for snort.</div><div><br></div><div><div>04/01-05:16:06.414514  [Drop] [**] [1:4:0] NO FLOW [**] [Priority: 0] {TCP} <a href="http://10.10.10.131:45708">10.10.10.131:45708</a> -> <a href="http://216.58.197.67:80">216.58.197.67:80</a></div><div>04/01-05:16:06.414514 <a href="http://10.10.10.131:45708">10.10.10.131:45708</a> -> <a href="http://216.58.197.67:80">216.58.197.67:80</a></div><div>TCP TTL:64 TOS:0x0 ID:55284 IpLen:20 DgmLen:128 DF</div><div>***AP*** Seq: 0x8A645331  Ack: 0xA37FF501  Win: 0xE5  TcpLen: 32</div><div>TCP Options (3) => NOP NOP TS: 17401029 537707313 </div><div>47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A  GET / HTTP/1.1..</div><div>48 6F 73 74 3A 20 67 6F 6F 67 6C 65 2E 63 6F 2E  Host: <a href="http://google.co">google.co</a>.</div><div>69 6E 0D 0A 55 73 65 72 2D 41 67 65 6E 74 3A 20  in..User-Agent: </div><div>63 75 72 6C 2F 37 2E 34 33 2E 30 0D 0A 41 63 63  curl/<a href="http://7.43.0.">7.43.0.</a>.Acc</div><div>65 70 74 3A 20 2A 2F 2A 0D 0A 0D 0A              ept: */*....</div><div><br></div><div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div></div><div><br></div><div>Thanks,</div><div>Amul Patel</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 31, 2016 at 7:59 PM, Al Lewis (allewi) <span dir="ltr"><<a href="mailto:allewi@...589..." target="_blank">allewi@...589...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">Works for me.. but ONLY when inline when using the drop keyword. You can use -Aconsole:test to see which packet it is triggering on.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">[root@...17428... snort-2.9.8.0-build_214]# less etc/FLOW-ISSUE.conf | grep drop<u></u><u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:red">drop tcp any any <> any any (msg:"FLOW";flow:from_client,established;content:"GET";nocase; react:msg;sid:2; )<u></u><u></u></span></b></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:red">drop tcp any any <> any any (msg:"NO FLOW";content:"GET";nocase; react:msg;sid:3; )<u></u><u></u></span></b></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">[root@...17428... snort-2.9.8.0-build_214]#
<b>./bin/snort -c etc/FLOW-ISSUE.conf -Q --daq dump --daq-var load-mode=read-file -r etc/FLOW-ISSUE.pcap -Acmg -H -U -k none -q</b><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">03/31-13:22:02.747754  [Drop] [**] [1:3:0] NO FLOW [**] [Priority: 0] {TCP} <a href="http://10.0.2.15:42250" target="_blank">10.0.2.15:42250</a> -> <a href="http://74.125.22.105:80" target="_blank">74.125.22.105:80</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">03/31-13:22:02.747754 08:00:27:D3:0B:60 -> 52:54:00:12:35:02 type:0x800 len:0x84<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><a href="http://10.0.2.15:42250" target="_blank">10.0.2.15:42250</a> -> <a href="http://74.125.22.105:80" target="_blank">74.125.22.105:80</a> TCP TTL:64 TOS:0x0 ID:5752 IpLen:20 DgmLen:118 DF<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">***AP*** Seq: 0x603FBC47  Ack: 0x177002  Win: 0x7210  TcpLen: 20<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A  GET / HTTP/1.1..<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">55 73 65 72 2D 41 67 65 6E 74 3A 20 63 75 72 6C  User-Agent: curl<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">2F 37 2E 34 30 2E 30 0D 0A 48 6F 73 74 3A 20 77  /<a href="http://7.40.0." target="_blank">7.40.0.</a>.Host: w<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">77 77 2E 67 6F 6F 67 6C 65 2E 63 6F 6D 0D 0A 41  ww.google.com..A<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">63 63 65 70 74 3A 20 2A 2F 2A 0D 0A 0D 0A        ccept: */*....<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">03/31-13:22:02.747754  [Drop] [**] [1:2:0] FLOW [**] [Priority: 0] {TCP} <a href="http://10.0.2.15:42250" target="_blank">10.0.2.15:42250</a> -> <a href="http://74.125.22.105:80" target="_blank">74.125.22.105:80</a><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">03/31-13:22:02.747754 08:00:27:D3:0B:60 -> 52:54:00:12:35:02 type:0x800 len:0x84<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><a href="http://10.0.2.15:42250" target="_blank">10.0.2.15:42250</a> -> <a href="http://74.125.22.105:80" target="_blank">74.125.22.105:80</a> TCP TTL:64 TOS:0x0 ID:5752 IpLen:20 DgmLen:118 DF<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">***AP*** Seq: 0x603FBC47  Ack: 0x177002  Win: 0x7210  TcpLen: 20<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">47 45 54 20 2F 20 48 54 54 50 2F 31 2E 31 0D 0A  GET / HTTP/1.1..<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">55 73 65 72 2D 41 67 65 6E 74 3A 20 63 75 72 6C  User-Agent: curl<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">2F 37 2E 34 30 2E 30 0D 0A 48 6F 73 74 3A 20 77  /<a href="http://7.40.0." target="_blank">7.40.0.</a>.Host: w<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">77 77 2E 67 6F 6F 67 6C 65 2E 63 6F 6D 0D 0A 41  ww.google.com..A<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">63 63 65 70 74 3A 20 2A 2F 2A 0D 0A 0D 0A        ccept: */*....<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">[root@...17428... snort-2.9.8.0-build_214]# ./bin/snort -c etc/FLOW-ISSUE.conf -r /tmp/FLOW-ISSUE.pcap -Acmg -H -U -k none -q<u></u><u></u></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">[root@...17428... snort-2.9.8.0-build_214]# ./bin/snort -c etc/FLOW-ISSUE.conf -Q --daq dump --daq-var load-mode=read-file -r etc/FLOW-ISSUE.pcap -Aconsole:test
 -H -U -k none -q<u></u><u></u></span></b></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">4              1              3              0             
<u></u><u></u></span></b></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">4              1              2              0</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d">             
<u></u><u></u></span></p><span class="">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
<div>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#1f497d">Albert Lewis<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span style="font-family:"Georgia","serif";color:red">fire</span></b><span style="font-family:"Georgia","serif";color:#999999">, Inc.
</span><span style="font-family:"Georgia","serif";color:#888888">now part of </span>
<b><span style="font-family:"Georgia","serif";color:#31849b">Cisco</span></b><span style="font-family:"Georgia","serif";color:#888888"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-family:"Candara","sans-serif";color:#888888"><u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span style="font-family:"Candara","sans-serif";color:#1f497d">443.430.7112<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Email:
</span><span style="font-family:"Candara","sans-serif";color:#1f497d"><a href="mailto:allewi@...589..." target="_blank">allewi@...589...</a></span><span style="font-family:"Candara","sans-serif";color:#4f81bd"> </span><span style="font-family:"Candara","sans-serif";color:#1f497d"><u></u><u></u></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1f497d"><u></u> <u></u></span></p>
</span><div>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Amul Patel [mailto:<a href="mailto:amulpatel.biz@...11827..." target="_blank">amulpatel.biz@...11827...</a>]
<br>
<b>Sent:</b> Thursday, March 31, 2016 10:18 AM<br>
<b>To:</b> <a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>; <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a></span></p><div><div class="h5"><br>
<b>Subject:</b> Re: [Snort-users] help - React keyword use to display message on web browser<u></u><u></u></div></div><p></p>
</div>
</div><div><div class="h5">
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">Thanks for detail explanations..<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">I need to clarify i.e. how and when snort rule will act on established connection? <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Such as i have rule which shuld trigger if content keyword matched and send message to browser. <u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Since react will send messages to browser only if connection is established.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">But when i use flow:established then even rule does not triggered. It means for snort, connection is still not established otherwise rule could have triggered.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">So is there any configuration to make rule to be work with established connection? ?<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Thanks<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Amul Patel<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<div>
<p class="MsoNormal"><span style="font-size:10.0pt;color:#575757">Sent from my Samsung device<u></u><u></u></span></p>
</div>
</div>
<p class="MsoNormal"><br>
<br>
-------- Original message --------<br>
From: <a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...846....14940...</a> <br>
Date: 31/03/2016 7:31 pm (GMT+05:30) <br>
To: <a href="mailto:snort-users@lists.sourceforge.net" target="_blank">snort-users@lists.sourceforge.net</a>
<br>
Subject: Re: [Snort-users] help - React keyword use to display message on web browser
<br>
<br>
On 03/31/2016 09:11 AM, Amul Patel wrote:<br>
> Does any one know how snort know that connection is established ?<br>
<br>
a connection is seen as established when the three-way handshake has been <br>
completed... of course that only works for TCP connections as UDP doesn't <br>
handshake like that...<br>
<br>
an established connection is no longer established when one side or the other <br>
sends the initial FIN teardown request... this is a four-way pattern of FIN, <br>
ACK, FIN, ACK where the first FIN and last ACK are sent by one end of the <br>
connection and the two middle ones are sent by the other end...<br>
<br>
in many many cases, networks stacks drop the connection as soon as they send <br>
their FIN and they don't wait for the ACK to arrive... that can cause what is <br>
known as spurious firewall hits because the ACK is not associated with an <br>
established connection and gets logged and dropped since it has no where to be <br>
sent because the receiver has already shut down the connection and it not <br>
listening any longer...<br>
<br>
in other cases, one might send a RST to close the connection abruptly...<br>
<br>
so, two ways to teardown a TCP connection... FIN(,ACK,FIN,ACK) and RST...<br>
<br>
-- <br>
  NOTE: No off-list assistance is given without prior approval.<br>
        *Please keep mailing list traffic on the list* unless<br>
        private contact is specifically requested and granted.<br>
<br>
------------------------------------------------------------------------------<br>
Transform Data into Opportunity.<br>
Accelerate data analysis in your applications with<br>
Intel Data Analytics Acceleration Library.<br>
Click to learn more.<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=278785471&iu=/4140" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=278785471&iu=/4140</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<u></u><u></u></p>
</div></div></div>
</div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><b><br><br><br><font color="#000099">Thanks & Regards,<br>Amul Patel<br>07875648886</font></b></div>
</div>