<div dir="ltr">Well, the rules have same rev numbers, and the order is like this:<div><div><br></div><div>alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"HTTP Proxy client detected"; flow: to_server,established; content:"X-Forwarded-"; http_header; reference:url,http:/           /<a href="http://www.forensicswiki.org/wiki/Proxy_server">www.forensicswiki.org/wiki/Proxy_server</a>; classtype:policy-violation; sid:10001030; rev:1;)</div><div><br></div><div>alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Custom Likely Successful Generic Phish 2016-09-23"; flow:to_server,established; content:"POST"; http_method; content:".php"; http_uri; content:"netid="; depth:10; fast_pattern; http_client_body; content:"&pword="; distance:0; classtype:trojan-activity; sid:10001030; rev:1;)</div></div><div><br></div><div>I only get alerts from the second one now, i.e phishing one, and haven't gotten any alert triggered for the first rule.</div><div>Previously, when I had only the first rule, I used to get lot of alerts for people using proxy, but ever since the second alert got added I realized that the first rule stopped triggering anymore. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Nov 9, 2016 at 1:28 PM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
You can have duplicate SIDS.  The rule with the highest rev will override the lower rev rule, otherwise Snort will take the first rule it gets to, and ignore the other one.
<div><br>
</div>
<div>It’s been this way for several years.</div>
<div><br>
</div>
<div><br>
<div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word">
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word">
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word">
<div><b style="font-family:Calibri,sans-serif;font-size:10px"><font color="#5e5e5e">--</font></b></div>
<div style="font-size:14px"><b style="font-family:Calibri,sans-serif;font-size:12px"><font color="#5e5e5e">Joel Esler </font></b><span style="font-family:Calibri,sans-serif;font-size:12px">| </span><b style="font-family:Calibri,sans-serif;font-size:12px"><font color="#0096ff">Talos:</font></b><span style="font-family:Calibri,sans-serif;font-size:12px"> M</span><font color="#424242" style="font-family:Calibri,sans-serif;font-size:12px">anager
 | <a href="mailto:jesler@...589..." target="_blank">jesler@...16686......</a></font></div>
<div><font color="#424242" style="font-family:Calibri,sans-serif;font-size:10px"><br>
</font></div>
</div>
<br class="m_5627161612639932437Apple-interchange-newline">
</div>
<br class="m_5627161612639932437Apple-interchange-newline">
</div>
<br class="m_5627161612639932437Apple-interchange-newline">
<br class="m_5627161612639932437Apple-interchange-newline">
</div>
<br>
<div>
<blockquote type="cite"><div><div class="h5">
<div>On Nov 9, 2016, at 1:19 PM, fatema bannatwala <<a href="mailto:fatema.bannatwala@...11827..." target="_blank">fatema.bannatwala@...14542....</a>> wrote:</div>
<br class="m_5627161612639932437Apple-interchange-newline">
</div></div><div><div><div class="h5">
<div dir="ltr">Hi All,
<div><br>
</div>
<div>Just realized that I have two rules in my local.rules file with same sid, and snort works just fine!!</div>
<div>I always had in my head that sids should have to be unique, but today when I was going through the local.rules file, I realized that someone from our team had created a new rule and assigned it a same sid that a previous rule had.</div>
<div>I couldn't catch it before because snort was running just fine without any complains on duplicate sids.</div>
<div><br>
</div>
<div>Have I missed this change in the current (or 2.9 version) of snort or is it something else?</div>
<div><br>
</div>
<div>Quick points: I have local.rules enabled in snort.conf and pulled pork is not modifying anything regarding local rules so they should get loaded as it is, and above all I am getting alerts for one of the rules having duplicate sid, but no alerts
 for the other rule having same sid.</div>
<div><br>
</div>
<div>
<div style="font-size:12.8px"><span class="m_5627161612639932437gmail-m_3403173632396746903gmail-il" style="font-size:12.8px">Snort version -</span><span style="font-size:12.8px"> 2.9.8.3</span><br>
</div>
<div style="font-size:12.8px"><span style="font-size:12.8px">barnyard version - 2-1.9</span></div>
<div style="font-size:12.8px"><span style="font-size:12.8px">pulledpork - 0.7.0</span></div>
</div>
<div style="font-size:12.8px"><span style="font-size:12.8px"><br>
</span></div>
<div style="font-size:12.8px"><span style="font-size:12.8px">Thanks,</span></div>
<div style="font-size:12.8px"><span style="font-size:12.8px">Fatema.</span></div>
</div></div></div>
------------------------------<wbr>------------------------------<wbr>------------------<br>
Developer Access Program for Intel Xeon Phi Processors<br>
Access to Intel Xeon Phi processor-based developer platforms.<br>
With one year of Intel Parallel Studio XE.<br>
Training and support from Colfax.<br>
Order your platform today. <a href="http://sdm.link/xeonphi_______________________________________________" target="_blank">
http://sdm.link/xeonphi_______<wbr>______________________________<wbr>__________</a><br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@...3783...<wbr>net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br>
</div>
</div>

</blockquote></div><br></div>