<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <p>Hi Anton, <br>
    </p>
    <p>Thanks a lot for the conf file.<br>
    </p>
    <p>Can you show me the snort exit statistics for tcp traffic?</p>
    <p>ICMP is not tracked by session, so they will be called for each
      packet. However, tcp and udp will be tracked and called only for
      the first packet in the session.</p>
    <p>Best,</p>
    <p>Hui.<br>
    </p>
    <div class="moz-cite-prefix">On 08/01/2016 03:46 PM, Anton van der
      Leun wrote:<br>
    </div>
    <blockquote
      cite="mid:zarafa.579fa72e.3b71.63bbb5765a0e79f5@...17628..."
      type="cite">
      <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
      <meta name="Generator" content="Microsoft Word 15 (filtered
        medium)">
      <style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
span.E-mailStijl18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.E-mailStijl19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
      <div class="WordSection1">
        <p class="MsoNormal"><span lang="EN-US">Hi Hui,<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US">Thanks for response,<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US">I am using stream5
            preprocessor, see my preprocessor config below<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US">Thanks again,<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US">Anton<o:p></o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
        <p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
        <div>
          <div style="border:none;border-top:solid #E1E1E1
            1.0pt;padding:3.0pt 0cm 0cm 0cm">
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">###################################################<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Step #5: Configure
                preprocessors<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># For more information, see the
                Snort Manual, Configuring Snort - Preprocessors<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">###################################################<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># GTP Control Channle
                Preprocessor. For more information, see README.GTP<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># preprocessor gtp: ports { 2123
                3386 2152 }<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Inline packet normalization.
                For more information, see README.normalize<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Does nothing in IDS mode<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor normalize_ip4<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor normalize_tcp: ips
                ecn stream<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor normalize_icmp4<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor normalize_ip6<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor normalize_icmp6<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Target-based IP
                defragmentation.  For more inforation, see README.frag3<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor frag3_global:
                max_frags 65536<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor frag3_engine:
                policy windows detect_anomalies overlap_limit 10
                min_fragment_length 100 timeout 180<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Target-Based stateful
                inspection/stream reassembly.  For more inforation, see
                README.stream5<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor stream5_global:
                track_tcp yes, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   track_udp yes, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   track_icmp no, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_tcp 262144, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_udp 131072, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_active_responses 2, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   min_response_seconds 5<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor stream5_tcp: policy
                windows, detect_anomalies, require_3whs 180, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   overlap_limit 10,
                small_segments 3 bytes 150, timeout 180, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ports client 21 22 23 25 42
                53 79 109 110 111 113 119 135 136 137 139 143 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">        161 445 513 514 587 593
                691 1433 1521 1741 2100 3306 6070 6665 6666 6667 6668
                6669 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">        7000 8181 32770 32771
                32772 32773 32774 32775 32776 32777 32778 32779, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ports both 80 81 311 383 443
                465 563 591 593 636 901 989 992 993 994 995 1220 1414
                1830 2301 2381 2809 3037 3128 3702 4343 4848 5250 6988
                7907 7000 7001 7144 7145 7510 7802 7777 7779 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">        7801 7900 7901 7902 7903
                7904 7905 7906 7908 7909 7910 7911 7912 7913 7914 7915
                7916 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">        7917 7918 7919 7920 8000
                8008 8014 8028 8080 8085 8088 8090 8118 8123 8180 8243
                8280 8300 8800 8888 8899 9000 9060 9080 9090 9091 9443
                9999 11371 34443 34444 41080 50002 55555<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor stream5_udp:
                timeout 180<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># performance statistics.  For
                more information, see the Snort Manual, Configuring
                Snort - Preprocessors - Performance Monitor<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># preprocessor perfmonitor: time
                300 file /var/snort/snort.stats pktcnt 10000<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># HTTP normalization and anomaly
                detection.  For more information, see
                README.http_inspect<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor http_inspect:
                global iis_unicode_map unicode.map 1252 compress_depth
                65535 decompress_depth 65535<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor
                http_inspect_server: server default \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    http_methods { GET POST PUT
                SEARCH MKCOL COPY MOVE LOCK UNLOCK NOTIFY POLL BCOPY
                BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE TRACE
                TRACK CONNECT SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND
                PROPPATCH BPROPFIND BPROPPATCH RPC_CONNECT PROXY_SUCCESS
                BITS_POST CCM_POST SMS_POST RPC_IN_DATA RPC_OUT_DATA
                RPC_ECHO_DATA } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chunk_length 500000 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    server_flow_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    client_flow_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    post_depth 65495 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    oversize_dir_length 500 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_header_length 750 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_headers 100 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_spaces 200 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    small_chunk_length { 10 5 }
                \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ports { 80 81 311 383 591
                593 901 1220 1414 1741 1830 2301 2381 2809 3037 3128
                3702 4343 4848 5250 6988 7000 7001 7144 7145 7510 7777
                7779 8000 8008 8014 8028 8080 8085 8088 8090 8118 8123
                8180 8181 8243 8280 8300 8800 8888 8899 9000 9060 9080
                9090 9091 9443 9999 11371 34443 34444 41080 50002 55555
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    non_rfc_char { 0x00 0x01
                0x02 0x03 0x04 0x05 0x06 0x07 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    enable_cookie \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    extended_response_inspection
                \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    inspect_gzip \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_utf \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    unlimited_decompress \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_javascript \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    apache_whitespace no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ascii no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    bare_byte no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    directory no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    double_decode no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    iis_backslash no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    iis_delimiter no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    iis_unicode no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    multi_slash no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    utf_8 no \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    u_encode yes \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    webroot no<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># ONC-RPC normalization and
                anomaly detection.  For more information, see the Snort
                Manual, Configuring Snort - Preprocessors - RPC Decode<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor rpc_decode: 111
                32770 32771 32772 32773 32774 32775 32776 32777 32778
                32779 no_alert_multiple_requests
                no_alert_large_fragments no_alert_incomplete<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Back Orifice detection.<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor bo<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># FTP / Telnet normalization and
                anomaly detection.  For more information, see
                README.ftptelnet<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor ftp_telnet: global
                inspection_type stateful encrypted_traffic no
                check_encrypted<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor
                ftp_telnet_protocol: telnet \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ayt_attack_thresh 20 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize ports { 23 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    detect_anomalies<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor
                ftp_telnet_protocol: ftp server default \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    def_max_param_len 100 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ports { 21 2100 3535 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    telnet_cmds yes \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ignore_telnet_erase_cmds yes
                \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { ABOR ACCT ADAT
                ALLO APPE AUTH CCC CDUP } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { CEL CLNT CMD CONF
                CWD DELE ENC EPRT } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { EPSV ESTA ESTP
                FEAT HELP LANG LIST LPRT } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { LPSV MACB MAIL
                MDTM MIC MKD MLSD MLST } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { MODE NLST NOOP
                OPTS PASS PASV PBSZ PORT } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { PROT PWD QUIT
                REIN REST RETR RMD RNFR } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { RNTO SDUP SITE
                SIZE SMNT STAT STOR STOU } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { STRU SYST TEST
                TYPE USER XCUP XCRC XCWD } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { XMAS XMD5 XMKD
                XPWD XRCP XRMD XRSQ XSEM } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ftp_cmds { XSEN XSHA1
                XSHA256 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_param_len 0 { ABOR
                CCC CDUP ESTA FEAT LPSV NOOP PASV PWD QUIT REIN STOU
                SYST XCUP XPWD } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_param_len 200 { ALLO
                APPE CMD HELP NLST RETR RNFR STOR STOU XMKD } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_param_len 256 { CWD
                RNTO } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_param_len 400 { PORT
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_param_len 512 { SIZE
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { ACCT ADAT ALLO
                APPE AUTH CEL CLNT CMD } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { CONF CWD DELE
                ENC EPRT EPSV ESTP HELP } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { LANG LIST LPRT
                MACB MAIL MDTM MIC MKD } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { MLSD MLST MODE
                NLST OPTS PASS PBSZ PORT } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { PROT REST RETR
                RMD RNFR RNTO SDUP SITE } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { SIZE SMNT STAT
                STOR STRU TEST TYPE USER } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { XCRC XCWD XMAS
                XMD5 XMKD XRCP XRMD XRSQ } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    chk_str_fmt { XSEM XSEN
                XSHA1 XSHA256 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity ALLO < int [
                char R int ] > \   <o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity EPSV < [ {
                char 12 | char A char L char L } ] > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity MACB <
                string > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity MDTM < [
                date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity MODE < char
                ASBCZ > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity PORT <
                host_port > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity PROT < char
                CSEP > \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity STRU < char
                FRPO [ string ] > \   <o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    cmd_validity TYPE < {
                char AE [ char NTC ] | char I | char L [ number ] } ><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor
                ftp_telnet_protocol: ftp client default \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_resp_len 256 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    bounce yes \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    ignore_telnet_erase_cmds yes
                \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    telnet_cmds yes<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SMTP normalization and anomaly
                detection.  For more information, see README.SMTP<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor smtp: ports { 25
                465 587 691 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    inspection_type stateful \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    b64_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    qp_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    bitenc_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    uu_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    log_mailfrom \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    log_rcptto \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    log_filename \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    log_email_hdrs \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize cmds \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_cmds { ATRN AUTH
                BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN
                EVFY } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_cmds { EXPN HELO
                HELP IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND
                SOML } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_cmds { STARTTLS
                TICK TIME TURN TURNME VERB VRFY X-ADAT X-DRCP X-ERCP
                X-EXCH50 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    normalize_cmds { X-EXPS
                X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE
                XSTA XTRN XUSR } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_command_line_len 512 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_header_line_len 1000 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    max_response_line_len 512 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_command_line_len 260
                { MAIL } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_command_line_len 300
                { RCPT } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_command_line_len 500
                { HELP HELO ETRN EHLO } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_command_line_len 255
                { EXPN VRFY ATRN SIZE BDAT DEBUG EMAL ESAM ESND ESOM
                EVFY IDENT NOOP RSET } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    alt_max_command_line_len 246
                { SEND SAML SOML AUTH TURN ETRN DATA RSET QUIT ONEX QUEU
                STARTTLS TICK TIME TURNME VERB X-EXPS X-LINK2STATE XADR
                XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN XUSR } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    valid_cmds { ATRN AUTH BDAT
                CHUNKING DATA DEBUG EHLO EMAL ESAM ESND ESOM ETRN EVFY }
                \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    valid_cmds { EXPN HELO HELP
                IDENT MAIL NOOP ONEX QUEU QUIT RCPT RSET SAML SEND SOML
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    valid_cmds { STARTTLS TICK
                TIME TURN TURNME VERB VRFY X-ADAT X-DRCP X-ERCP X-EXCH50
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    valid_cmds { X-EXPS
                X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE
                XSTA XTRN XUSR } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    xlink2state { enabled }<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Portscan detection.  For more
                information, see README.sfportscan<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># preprocessor sfportscan:
                proto  { all } memcap { 10000000 } sense_level { low }<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># ARP spoof detection.  For more
                information, see the Snort Manual - Configuring Snort -
                Preprocessors - ARP Spoof Preprocessor<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># preprocessor arpspoof<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># preprocessor
                arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SSH anomaly detection.  For
                more information, see README.ssh<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor ssh: server_ports {
                22 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                  autodetect \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                 
                max_client_bytes 19600 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                 
                max_encrypted_packets 20 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                 
                max_server_version_len 100 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                 
                enable_respoverflow enable_ssh1crc32 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">                 
                enable_srvoverflow enable_protomismatch<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SMB / DCE-RPC normalization
                and anomaly detection.  For more information, see
                README.dcerpc2<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor dcerpc2: memcap
                102400, events [co ]<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor dcerpc2_server:
                default, policy WinXP, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    detect [smb [139,445], tcp
                135, udp 135, rpc-over-http-server 593], \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    autodetect [tcp 1025:, udp
                1025:, rpc-over-http-server 1025:], \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">    smb_max_chain 3,
                smb_invalid_shares ["C$", "D$", "ADMIN$"]<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># DNS anomaly detection.  For
                more information, see README.dns<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor dns: ports { 53 }
                enable_rdata_overflow<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SSL anomaly detection and
                traffic bypass.  For more information, see README.ssl<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor ssl: ports { 443
                465 563 636 989 992 993 994 995 7801 7802 7900 7901 7902
                7903 7904 7905 7906 7907 7908 7909 7910 7911 7912 7913
                7914 7915 7916 7917 7918 7919 7920 }, trustservers,
                noinspect_encrypted<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SDF sensitive data
                preprocessor.  For more information see
                README.sensitive_data<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor sensitive_data:
                alert_threshold 25<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># SIP Session Initiation
                Protocol preprocessor.  For more information see
                README.sip<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor sip: max_sessions
                40000, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   ports { 5060 5061 5600 }, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   methods { invite \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             cancel \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             ack \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             bye \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             register \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             options \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             refer \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             subscribe \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             update \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             join \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             info \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             message \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             notify \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             benotify \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             do \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             qauth \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             sprack \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             publish \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             service \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             unsubscribe \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">             prack }, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_uri_len 512, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_call_id_len 80, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_requestName_len 20, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_from_len 256, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   max_to_len 256, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   </span><span
                style="font-family:"Courier New"">max_via_len
                1024, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"">   max_contact_len 512, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"">   </span><span
                style="font-family:"Courier New"" lang="EN-US">max_content_len
                2048<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># IMAP preprocessor.  For more
                information see README.imap<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor imap: \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   ports { 143 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   b64_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   qp_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   bitenc_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   uu_decode_depth 0<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># POP preprocessor. For more
                information see README.pop<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor pop: \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   ports { 110 } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   b64_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   qp_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   bitenc_decode_depth 0 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   uu_decode_depth 0<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Modbus preprocessor. For more
                information see README.modbus<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor modbus: ports { 502
                }<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># DNP3 preprocessor. For more
                information see README.dnp3<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor dnp3: ports { 20000
                } \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   memcap 262144 \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   check_crc<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"># Reputation preprocessor. For
                more information see README.reputation<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">preprocessor reputation: \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   memcap 500, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   scan_local, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   priority whitelist, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   nested_ip inner, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   whitelist
                /etc/snort/rules/white_list.rules, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   blacklist
                /etc/snort/rules/black_list.rules, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   blacklist
                /etc/snort/rules/black_list_local.rules, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">   white trust<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US"><o:p> </o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">##preprocessor appid :
                app_stats_filename appstats-unified.log,
                app_stats_period 60, app_detector_dir
                /usr/local/lib/openappid<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">##preprocessor appid:
                app_stats_filename appstats-u2.log, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">##   app_stats_period 60, \<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="font-family:"Courier
                New"" lang="EN-US">##   app_detector_dir
                /usr/local/lib/openappid<o:p></o:p></span></p>
            <p class="MsoNormal"><b><span
                  style="font-family:"Courier
                  New";mso-fareast-language:NL" lang="EN-US"><o:p> </o:p></span></b></p>
            <p class="MsoNormal"><b><span
                  style="mso-fareast-language:NL" lang="EN-US"><o:p> </o:p></span></b></p>
            <p class="MsoNormal"><b><span
                  style="mso-fareast-language:NL">Van:</span></b><span
                style="mso-fareast-language:NL"> Hui Cao (huica)
                [<a class="moz-txt-link-freetext" href="mailto:huica@...589...">mailto:huica@...589...</a>] <br>
                <b>Verzonden:</b> maandag 1 augustus 2016 21:16<br>
                <b>Aan:</b> anton van der leun
                <a class="moz-txt-link-rfc2396E" href="mailto:anton@...17621..."><anton@...17621...></a>;
                <a class="moz-txt-link-abbreviated" href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
                <b>CC:</b> Anton van der Leun
                <a class="moz-txt-link-rfc2396E" href="mailto:anton@...17625..."><anton@...17625...></a>; Alexander van der
                Leun <a class="moz-txt-link-rfc2396E" href="mailto:alex@...17625..."><alex@...17625...></a><br>
                <b>Onderwerp:</b> Re: [Snort-users] snort black list
                issue<o:p></o:p></span></p>
          </div>
        </div>
        <p class="MsoNormal"><o:p> </o:p></p>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black">Have you enabled
              session preprocessor?</span><span
              style="font-size:10.5pt;color:black;mso-fareast-language:NL"><o:p></o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black">Reputation
              preprocessor has been moved after session preprocessor. It
              is called once per session.<o:p></o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black">Best,<o:p></o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black">Hui.<o:p></o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>
        </div>
        <div style="border:none;border-top:solid #B5C4DF
          1.0pt;padding:3.0pt 0cm 0cm 0cm">
          <p class="MsoNormal"><b><span style="color:black">From: </span></b><span
              style="color:black">anton van der leun <<a
                moz-do-not-send="true"
                href="mailto:anton@...17621...">anton@...17621...</a>><br>
              <b>Date: </b>Monday, August 1, 2016 at 6:08 AM<br>
              <b>To: </b>"<a moz-do-not-send="true"
                href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>"
              <<a moz-do-not-send="true"
                href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
              <b>Cc: </b>"<a moz-do-not-send="true"
                href="mailto:anton@...17625...">anton@...17625...</a>"
              <<a moz-do-not-send="true"
                href="mailto:anton@...17625...">anton@...17625...</a>>,
              "<a moz-do-not-send="true"
                href="mailto:alex@...17625...">alex@...17625...</a>"
              <<a moz-do-not-send="true"
                href="mailto:alex@...17625...">alex@...17625...</a>><br>
              <b>Subject: </b>[Snort-users] snort black list issue<o:p></o:p></span></p>
        </div>
        <div>
          <p class="MsoNormal"><span
              style="font-size:10.5pt;color:black"><o:p> </o:p></span></p>
        </div>
        <div>
          <div>
            <p class="MsoNormal"><span style="color:black">Hello snort
                community<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">I
                ran into this issue while debugging a certain attack
                this weekend and noticed the following I don’t
                understand:</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Conditions
                : snort blacklist has certain ip address</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Results: 
                after adding this address and a warm reload of snort :
                ICMP messages are blocked, however tcp sessions are NOT.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Example
                (ip address is not yet added to black list)</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">root@...17622...:~#
                ping 5.157.87.137</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">PING
                5.157.87.137 (5.157.87.137) 56(84) bytes of data.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">64
                bytes from 5.157.87.137: icmp_req=1 ttl=54 time=21.7 ms</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">64
                bytes from 5.157.87.137: icmp_req=2 ttl=54 time=11.1 ms</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black">^C<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black">root@...17622...:~#
                telnet 5.157.87.137 80<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Trying
                5.157.87.137...</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Connected
                to 5.157.87.137.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Escape
                character is '^]'.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">^]</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">telnet>
                quit</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Connection
                closed.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">root@...17622...:~#
                ##snort blacklist added 5.157.87.137   and snort is
                reloaded</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">root@...17622...:~#
                ping 5.157.87.137      </span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">PING
                5.157.87.137 (5.157.87.137) 56(84) bytes of data.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">^C</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">---
                5.157.87.137 ping statistics ---</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">5
                packets transmitted, 0 received, 100% packet loss, time
                4030ms</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">root@...17622...:~#
                telnet 5.157.87.137 80 </span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Trying
                5.157.87.137...</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Connected
                to 5.157.87.137.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Escape
                character is '^]'.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">^]</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">telnet>
                quit</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Connection
                closed.</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">root@...17622...:~#
              </span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">The
                screenshot of my monitoring tool is included to show
                that the icmp message was indeed blocked</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">However
                a tcp sessiob to port 80 is still not blocked !</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">Here
                some config and version info:</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">[root@...17623...
                scripts]# /usr/local/bin/snort -V</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                ,,_     -*> Snort! <*-</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> 
                o"  )~   Version 2.9.8.3 GRE (Build 383) </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">   ''''   
                By Martin Roesch & The Snort Team: <a
                  moz-do-not-send="true"
                  href="http://www.snort.org/contact#team">http://www.snort.org/contact#team</a></span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                        Copyright (C) 2014-2015 Cisco and/or its
                affiliates. All rights reserved.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">          
                Copyright (C) 1998-2013 Sourcefire, Inc., et al.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">          
                Using libpcap version 1.6.2</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">          
                Using PCRE version: 8.32 2012-11-30</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">          
                Using ZLIB version: 1.2.7</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">#
                Reputation preprocessor. For more information see
                README.reputation</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">preprocessor
                reputation: \</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                memcap 500, \</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                scan_local, \</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                priority whitelist, \</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                nested_ip inner, \</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                whitelist /etc/snort/rules/white_list.rules, \</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                blacklist /etc/snort/rules/black_list.rules, \</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                blacklist /etc/snort/rules/black_list_local.rules, \</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">  
                white trust</span><span style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">In
                my opninion the reputation processor has absolute
                priority and all messages should be blocked.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US">I
                hope somebody can direct me in the right direction.</span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black" lang="EN-US"> </span><span
                style="color:black"><o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black">Thanks in
                advance,<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black">Anton van der
                Leun<o:p></o:p></span></p>
            <p class="MsoNormal"><span style="color:black"> <o:p></o:p></span></p>
          </div>
        </div>
      </div>
    </blockquote>
    <br>
  </body>
</html>