<div dir="ltr"><p class="MsoNormal" align="left" style="margin-bottom:0.0001pt;line-height:normal"><span lang="EN-US" style="font-size:11pt;font-family:consolas">Russ, it was: </span></p><p class="MsoNormal" align="left" style="margin-bottom:0.0001pt;line-height:normal"><span lang="EN-US" style="font-size:11pt;font-family:consolas">alert tcp any any ->
$HOME_NET 80 (msg:”possible syn flood”; </span><span style="font-family:consolas;font-size:11pt">flags:S; classtype:attempted-dos;
</span><span style="font-family:consolas;font-size:11pt">threshold: type both, count 20,
seconds 1; </span><span style="font-family:consolas;font-size:11pt">sid:1000024;)</span></p></div><div class="gmail_extra"><br><div class="gmail_quote">2017-01-19 22:02 GMT+01:00  <span dir="ltr"><<a href="mailto:snort-users-request@lists.sourceforge.net" target="_blank">snort-users-request@lists.sourceforge.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Snort-users mailing list submissions to<br>
        <a href="mailto:snort-users@...5870....net">snort-users@...3783...<wbr>net</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:snort-users-request@...974...rceforge.net">snort-users-request@...8192...<wbr>sourceforge.net</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:snort-users-owner@...635...eforge.net">snort-users-owner@...8192...<wbr>sourceforge.net</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Snort-users digest..."<br>
<br>
<br>
When responding, please don't respond with the entire Digest.  Please trim your response.<br>
<br>
Today's Topics:<br>
<br>
   1. Re: detection_filter not working (Russ)<br>
<br>
<br>
------------------------------<wbr>------------------------------<wbr>----------<br>
<br>
Message: 1<br>
Date: Thu, 19 Jan 2017 16:01:54 -0500<br>
From: Russ <<a href="mailto:rucombs@...589...">rucombs@...589...</a>><br>
Subject: Re: [Snort-users] detection_filter not working<br>
To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...17674...3...<wbr>net</a><br>
Message-ID: <<a href="mailto:c2951e91-e6ee-d51f-1a93-b5e4e1f13713@...15110...89...">c2951e91-e6ee-d51f-1a93-<wbr>b5e4e1f13713@...589...</a>><br>
Content-Type: text/plain; charset="windows-1252"<br>
<br>
What is the original rule you had with threshold?<br>
<br>
On 1/19/17 3:40 PM, Anna Kowalska wrote:<br>
> Hi,<br>
><br>
> Fatema, I tried it, but it didn't work. Joel gave me a suggestion that<br>
> maybe my version of Snort (2.9.8.3) has a bug with detection_filter.<br>
> After I finish working with my current project I will upgrade to 2.9.9<br>
> version and check if the problem will be gone.<br>
><br>
> 2017-01-19 12:05 GMT+01:00 Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a><br>
> <mailto:<a href="mailto:allewi@...589...">allewi@...589...</a>>>:<br>
><br>
>     Hello,<br>
><br>
>     Did you get this working?<br>
><br>
><br>
>     *Albert Lewis*<br>
><br>
>     ENGINEER.SOFTWARE ENGINEERING<br>
><br>
>     SOURCE*fire*, Inc. now part of *Cisco*<br>
><br>
>     Email: <a href="mailto:allewi@...589...">allewi@...843.....589...</a> <mailto:<a href="mailto:allewi@...589...">allewi@...16624....</a>><br>
><br>
><br>
>     From: Anna Kowalska <<a href="mailto:annak.koval@...11827...">annak.koval@...11827...</a><br>
>     <mailto:<a href="mailto:annak.koval@...14542....">annak.koval@...11827...</a>><wbr>><br>
>     Date: Saturday, January 14, 2017 at 8:20 AM<br>
>     To: 'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@...8192...<wbr>sourceforge.net</a><br>
>     <mailto:<a href="mailto:snort-users@...4626...ceforge.net">snort-users@...8192...<wbr>sourceforge.net</a>>><br>
>     Subject: [Snort-users] detection_filter not working<br>
><br>
>     Hi all,<br>
><br>
>     I am struggling with making one rule work. I want to set alarm<br>
>     when snort detects too much of syn packets (possible tcp syn<br>
>     flood) and it works when I used threshold option in rule. Then I<br>
>     tried it with detection_filter and it doesn't give any alarm.<br>
>     Here is the rule I wrote in my local.rules file:<br>
><br>
>     alert tcp any any -> $HOME_NET 80 (msg:"syn flood attempt";<br>
>     flags:S; classtype:attempted-dos; detection_filter: track by_src,<br>
>     count 20, seconds 1; sid: 1000024;)<br>
><br>
>     I proceed with hping3, but snort generated no output. Please tell<br>
>     me what am I doing wrong, maybe I forgot to attach something to<br>
>     configurtion, but I really have no idea what could it be..<br>
><br>
>     commandline: snort -i eth0 -c /etc/snort/snort.conf -A console<br>
><br>
>     configuration file:<br>
>     ##############################<wbr>#####################<br>
>     # Step #3: Configure the base detection engine.  For more<br>
>     information, see  README.decode<br>
>     ##############################<wbr>#####################<br>
><br>
>     # Configure PCRE match limitations<br>
>     config pcre_match_limit: 3500<br>
>     config pcre_match_limit_recursion: 1500<br>
><br>
>     # Configure the detection engine  See the Snort Manual,<br>
>     Configuring Snort - Includes - Config<br>
>     config detection: search-method ac-split search-optimize<br>
>     max-pattern-len 20<br>
><br>
>     # Configure the event queue.  For more information, see<br>
>     README.event_queue<br>
>     config event_queue: max_queue 8 log 5 order_events content_length<br>
><br>
>     ##############################<wbr>#####################<br>
>     ## Configure GTP if it is to be used.<br>
>     ## For more information, see README.GTP<br>
>     ##############################<wbr>######################<br>
><br>
>     # config enable_gtp<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Per packet and rule latency enforcement<br>
>     # For more information see README.ppm<br>
>     ##############################<wbr>#####################<br>
><br>
>     # Per Packet latency configuration<br>
>     #config ppm: max-pkt-time 250, \<br>
>     #   fastpath-expensive-packets, \<br>
>     #   pkt-log<br>
><br>
>     # Per Rule latency configuration<br>
>     #config ppm: max-rule-time 200, \<br>
>     #   threshold 3, \<br>
>     #   suspend-expensive-rules, \<br>
>     #   suspend-timeout 20, \<br>
>     #   rule-log alert<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Configure Perf Profiling for debugging<br>
>     # For more information see README.PerfProfiling<br>
>     ##############################<wbr>#####################<br>
><br>
>     #config profile_rules: print all, sort avg_ticks<br>
>     #config profile_preprocs: print all, sort avg_ticks<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Configure protocol aware flushing<br>
>     # For more information see README.stream5<br>
>     ##############################<wbr>#####################<br>
>     config paf_max: 16000<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #4: Configure dynamic loaded libraries.<br>
>     # For more information, see Snort Manual, Configuring Snort -<br>
>     Dynamic Modules<br>
>     ##############################<wbr>#####################<br>
><br>
>     # path to dynamic preprocessor libraries<br>
>     dynamicpreprocessor directory<br>
>     /usr/local/lib/snort_<wbr>dynamicpreprocessor/<br>
><br>
>     # path to base preprocessor engine<br>
>     dynamicengine /usr/local/lib/snort_<wbr>dynamicengine/libsf_engine.so<br>
><br>
>     # path to dynamic rules libraries<br>
>     dynamicdetection directory /usr/local/lib/snort_<wbr>dynamicrules<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #5: Configure preprocessors<br>
>     # For more information, see the Snort Manual, Configuring Snort -<br>
>     Preprocessors<br>
>     ##############################<wbr>#####################<br>
><br>
>     # GTP Control Channle Preprocessor. For more information, see<br>
>     README.GTP<br>
>     # preprocessor gtp: ports { 2123 3386 2152 }<br>
><br>
>     # Inline packet normalization. For more information, see<br>
>     README.normalize<br>
>     # Does nothing in IDS mode<br>
>     preprocessor normalize_ip4<br>
>     preprocessor normalize_tcp: block, rsv, pad, urp, req_urg,<br>
>     req_pay, req_urp, ips, ecn stream<br>
>     preprocessor normalize_icmp4<br>
>     preprocessor normalize_ip6<br>
>     preprocessor normalize_icmp6<br>
><br>
>     # Target-based IP defragmentation. For more inforation, see<br>
>     README.frag3<br>
>     preprocessor frag3_global: max_frags 65536<br>
>     preprocessor frag3_engine: policy windows detect_anomalies<br>
>     overlap_limit 10 min_fragment_length 100 timeout 180<br>
><br>
>     # Target-Based stateful inspection/stream reassembly.  For more<br>
>     inforation, see README.stream5<br>
>     preprocessor stream5_global: track_tcp yes, \<br>
>        track_udp yes, \<br>
>        track_icmp no, \<br>
>        max_tcp 262144, \<br>
>        max_udp 131072, \<br>
>        max_active_responses 2, \<br>
>        min_response_seconds 5<br>
><br>
>     preprocessor stream5_tcp: policy windows, detect_anomalies,<br>
>     require_3whs 180, \<br>
>        overlap_limit 10, small_segments 3 bytes 150, timeout 180, \<br>
>         ports client 21 22 23 25 42 53 70 79 109 110 111 113 119 135<br>
>     136 137 139 143 \<br>
>             161 445 513 514 587 593 691 1433 1521 1741 2100 3306 6070<br>
>     6665 6666 6667 6668 6669 \<br>
>             7000 8181 32770 32771 32772 32773 32774 32775 32776 32777<br>
>     32778 32779, \<br>
>         ports both 36 80 81 82 83 84 85 86 87 88 89 90 110 311 383 443<br>
>     465 563 555 591 593 631 636 801 808 818 901 972 989 992 993 994<br>
>     995 1158 1220 1414 1533 1741 1830 1942 2231 2301 2381 2578 2809<br>
>     2980 3029 3037 3057 3128 3443 3702 4000 4343 4848 5000 5117 5250<br>
>     5450 5600 5814 6080 6173 6988 7907 7000 7001 7005 7071 7144 7145<br>
>     7510 7802 7770 7777 7778 7779 \<br>
>             7801 7900 7901 7902 7903 7904 7905 7906 7908 7909 7910<br>
>     7911 7912 7913 7914 7915 7916 \<br>
>             7917 7918 7919 7920 8000 8001 8008 8014 8015 8020 8028<br>
>     8040 8080 8081 8082 8085 8088 8090 8118 8123 8180 8181 8182 8222<br>
>     8243 8280 8300 8333 8344 8400 8443 8500 8509 8787 8800 8888 8899<br>
>     8983 9000 9002 9060 9080 9090 9091 9111 9290 9443 9447 9710 9788<br>
>     9999 10000 11371 12601 13014 15489 19980 29991 33300 34412 34443<br>
>     34444 40007 41080 44449 50000 50002 51423 53331 55252 55555 56712<br>
>     preprocessor stream5_icmp: timeout 30<br>
>     preprocessor stream5_udp: timeout 180<br>
><br>
>     # performance statistics.  For more information, see the Snort<br>
>     Manual, Configuring Snort - Preprocessors - Performance Monitor<br>
>     # preprocessor perfmonitor: time 300 file /var/snort/snort.stats<br>
>     pktcnt 10000<br>
><br>
>     # HTTP normalization and anomaly detection.  For more information,<br>
>     see README.http_inspect<br>
>     preprocessor http_inspect: global iis_unicode_map unicode.map 1252<br>
>     compress_depth 65535 decompress_depth 65535<br>
>     preprocessor http_inspect_server: server default \<br>
>         http_methods { GET POST PUT SEARCH MKCOL COPY MOVE LOCK UNLOCK<br>
>     NOTIFY POLL BCOPY BDELETE BMOVE LINK UNLINK OPTIONS HEAD DELETE<br>
>     TRACE TRACK CONNECT SOURCE SUBSCRIBE UNSUBSCRIBE PROPFIND<br>
>     PROPPATCH BPROPFIND BPROPPATCH RPC_CONNECT PROXY_SUCCESS BITS_POST<br>
>     CCM_POST SMS_POST RPC_IN_DATA RPC_OUT_DATA RPC_ECHO_DATA } \<br>
>         chunk_length 500000 \<br>
>         server_flow_depth 0 \<br>
>         client_flow_depth 0 \<br>
>         post_depth 65495 \<br>
>         oversize_dir_length 500 \<br>
>         max_header_length 750 \<br>
>         max_headers 100 \<br>
>         max_spaces 200 \<br>
>         small_chunk_length { 10 5 } \<br>
>         ports { 36 80 81 82 83 84 85 86 87 88 89 90 311 383 555 591<br>
>     593 631 801 808 818 901 972 1158 1220 1414 1533 1741 1830 1942<br>
>     2231 2301 2381 2578 2809 2980 3029 3037 3057 3128 3443 3702 4000<br>
>     4343 4848 5000 5117 5250 5450 5600 5814 6080 6173 6988 7000 7001<br>
>     7005 7071 7144 7145 7510 7770 7777 7778 7779 8000 8001 8008 8014<br>
>     8015 8020 8028 8040 8080 8081 8082 8085 8088 8090 8118 8123 8180<br>
>     8181 8182 8222 8243 8280 8300 8333 8344 8400 8443 8500 8509 8787<br>
>     8800 8888 8899 8983 9000 9002 9060 9080 9090 9091 9111 9290 9443<br>
>     9447 9710 9788 9999 10000 11371 12601 13014 15489 19980 29991<br>
>     33300 34412 34443 34444 40007 41080 44449 50000 50002 51423 53331<br>
>     55252 55555 56712 } \<br>
>         non_rfc_char { 0x00 0x01 0x02 0x03 0x04 0x05 0x06 0x07 } \<br>
>         enable_cookie \<br>
>         extended_response_inspection \<br>
>         inspect_gzip \<br>
>         normalize_utf \<br>
>         unlimited_decompress \<br>
>         normalize_javascript \<br>
>         apache_whitespace no \<br>
>         ascii no \<br>
>         bare_byte no \<br>
>         directory no \<br>
>         double_decode no \<br>
>         iis_backslash no \<br>
>         iis_delimiter no \<br>
>         iis_unicode no \<br>
>         multi_slash no \<br>
>         utf_8 no \<br>
>         u_encode yes \<br>
>         webroot no<br>
><br>
>     # ONC-RPC normalization and anomaly detection.  For more<br>
>     information, see the Snort Manual, Configuring Snort -<br>
>     Preprocessors - RPC Decode<br>
>     preprocessor rpc_decode: 111 32770 32771 32772 32773 32774 32775<br>
>     32776 32777 32778 32779 no_alert_multiple_requests<br>
>     no_alert_large_fragments no_alert_incomplete<br>
><br>
>     # Back Orifice detection.<br>
>     preprocessor bo<br>
><br>
>     # FTP / Telnet normalization and anomaly detection.  For more<br>
>     information, see README.ftptelnet<br>
>     preprocessor ftp_telnet: global inspection_type stateful<br>
>     encrypted_traffic no check_encrypted<br>
>     preprocessor ftp_telnet_protocol: telnet \<br>
>         ayt_attack_thresh 20 \<br>
>         normalize ports { 23 } \<br>
>         detect_anomalies<br>
>     preprocessor ftp_telnet_protocol: ftp server default \<br>
>         def_max_param_len 100 \<br>
>         ports { 21 2100 3535 } \<br>
>         telnet_cmds yes \<br>
>         ignore_telnet_erase_cmds yes \<br>
>         ftp_cmds { ABOR ACCT ADAT ALLO APPE AUTH CCC CDUP } \<br>
>         ftp_cmds { CEL CLNT CMD CONF CWD DELE ENC EPRT } \<br>
>         ftp_cmds { EPSV ESTA ESTP FEAT HELP LANG LIST LPRT } \<br>
>         ftp_cmds { LPSV MACB MAIL MDTM MIC MKD MLSD MLST } \<br>
>         ftp_cmds { MODE NLST NOOP OPTS PASS PASV PBSZ PORT } \<br>
>         ftp_cmds { PROT PWD QUIT REIN REST RETR RMD RNFR } \<br>
>         ftp_cmds { RNTO SDUP SITE SIZE SMNT STAT STOR STOU } \<br>
>         ftp_cmds { STRU SYST TEST TYPE USER XCUP XCRC XCWD } \<br>
>         ftp_cmds { XMAS XMD5 XMKD XPWD XRCP XRMD XRSQ XSEM } \<br>
>         ftp_cmds { XSEN XSHA1 XSHA256 } \<br>
>         alt_max_param_len 0 { ABOR CCC CDUP ESTA FEAT LPSV NOOP PASV<br>
>     PWD QUIT REIN STOU SYST XCUP XPWD } \<br>
>         alt_max_param_len 200 { ALLO APPE CMD HELP NLST RETR RNFR STOR<br>
>     STOU XMKD } \<br>
>         alt_max_param_len 256 { CWD RNTO } \<br>
>         alt_max_param_len 400 { PORT } \<br>
>         alt_max_param_len 512 { SIZE } \<br>
>         chk_str_fmt { ACCT ADAT ALLO APPE AUTH CEL CLNT CMD } \<br>
>         chk_str_fmt { CONF CWD DELE ENC EPRT EPSV ESTP HELP } \<br>
>         chk_str_fmt { LANG LIST LPRT MACB MAIL MDTM MIC MKD } \<br>
>         chk_str_fmt { MLSD MLST MODE NLST OPTS PASS PBSZ PORT } \<br>
>         chk_str_fmt { PROT REST RETR RMD RNFR RNTO SDUP SITE } \<br>
>         chk_str_fmt { SIZE SMNT STAT STOR STRU TEST TYPE USER } \<br>
>         chk_str_fmt { XCRC XCWD XMAS XMD5 XMKD XRCP XRMD XRSQ } \<br>
>         chk_str_fmt { XSEM XSEN XSHA1 XSHA256 } \<br>
>         cmd_validity ALLO < int [ char R int ] > \<br>
>         cmd_validity EPSV < [ { char 12 | char A char L char L } ] > \<br>
>         cmd_validity MACB < string > \<br>
>         cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \<br>
>         cmd_validity MODE < char ASBCZ > \<br>
>         cmd_validity PORT < host_port > \<br>
>         cmd_validity PROT < char CSEP > \<br>
>         cmd_validity STRU < char FRPO [ string ] > \<br>
>         cmd_validity TYPE < { char AE [ char NTC ] | char I | char L [<br>
>     number ] } ><br>
>     preprocessor ftp_telnet_protocol: ftp client default \<br>
>         max_resp_len 256 \<br>
>         bounce yes \<br>
>         ignore_telnet_erase_cmds yes \<br>
>         telnet_cmds yes<br>
><br>
><br>
>     # SMTP normalization and anomaly detection.  For more information,<br>
>     see README.SMTP<br>
>     preprocessor smtp: ports { 25 465 587 691 } \<br>
>         inspection_type stateful \<br>
>         b64_decode_depth 0 \<br>
>         qp_decode_depth 0 \<br>
>         bitenc_decode_depth 0 \<br>
>         uu_decode_depth 0 \<br>
>         log_mailfrom \<br>
>         log_rcptto \<br>
>         log_filename \<br>
>         log_email_hdrs \<br>
>         normalize cmds \<br>
>         normalize_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL<br>
>     ESAM ESND ESOM ETRN EVFY } \<br>
>         normalize_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT<br>
>     RCPT RSET SAML SEND SOML } \<br>
>         normalize_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY<br>
>     X-ADAT X-DRCP X-ERCP X-EXCH50 } \<br>
>         normalize_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50<br>
>     XGEN XLICENSE XQUE XSTA XTRN XUSR } \<br>
>         max_command_line_len 512 \<br>
>         max_header_line_len 1000 \<br>
>         max_response_line_len 512 \<br>
>         alt_max_command_line_len 260 { MAIL } \<br>
>         alt_max_command_line_len 300 { RCPT } \<br>
>         alt_max_command_line_len 500 { HELP HELO ETRN EHLO } \<br>
>         alt_max_command_line_len 255 { EXPN VRFY ATRN SIZE BDAT DEBUG<br>
>     EMAL ESAM ESND ESOM EVFY IDENT NOOP RSET } \<br>
>         alt_max_command_line_len 246 { SEND SAML SOML AUTH TURN ETRN<br>
>     DATA RSET QUIT ONEX QUEU STARTTLS TICK TIME TURNME VERB X-EXPS<br>
>     X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN XLICENSE XQUE XSTA XTRN<br>
>     XUSR } \<br>
>         valid_cmds { ATRN AUTH BDAT CHUNKING DATA DEBUG EHLO EMAL ESAM<br>
>     ESND ESOM ETRN EVFY } \<br>
>         valid_cmds { EXPN HELO HELP IDENT MAIL NOOP ONEX QUEU QUIT<br>
>     RCPT RSET SAML SEND SOML } \<br>
>         valid_cmds { STARTTLS TICK TIME TURN TURNME VERB VRFY X-ADAT<br>
>     X-DRCP X-ERCP X-EXCH50 } \<br>
>         valid_cmds { X-EXPS X-LINK2STATE XADR XAUTH XCIR XEXCH50 XGEN<br>
>     XLICENSE XQUE XSTA XTRN XUSR } \<br>
>         xlink2state { enabled }<br>
><br>
>     # Portscan detection.  For more information, see README.sfportscan<br>
>      preprocessor sfportscan: proto  { all } scan_type { all }  memcap<br>
>     { 10000000 } sense_level { high } logfile {<br>
>     /var/log/snort/PORTSCAN.log } detect_ack_scans<br>
><br>
>     # ARP spoof detection.  For more information, see the Snort Manual<br>
>     - Configuring Snort - Preprocessors - ARP Spoof Preprocessor<br>
>     # preprocessor arpspoof<br>
>     # preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00<br>
><br>
>     # SSH anomaly detection.  For more information, see README.ssh<br>
>     preprocessor ssh: server_ports { 22 } \<br>
>                       autodetect \<br>
>                       max_client_bytes 19600 \<br>
>     max_encrypted_packets 20 \<br>
>     max_server_version_len 100 \<br>
>                       enable_respoverflow enable_ssh1crc32 \<br>
>                       enable_srvoverflow enable_protomismatch<br>
><br>
>     # SMB / DCE-RPC normalization and anomaly detection.  For more<br>
>     information, see README.dcerpc2<br>
>     preprocessor dcerpc2: memcap 102400, events [co ]<br>
>     preprocessor dcerpc2_server: default, policy WinXP, \<br>
>         detect [smb [139,445], tcp 135, udp 135, rpc-over-http-server<br>
>     593], \<br>
>         autodetect [tcp 1025:, udp 1025:, rpc-over-http-server 1025:], \<br>
>         smb_max_chain 3, smb_invalid_shares ["C$", "D$", "ADMIN$"]<br>
><br>
>     # DNS anomaly detection.  For more information, see README.dns<br>
>     preprocessor dns: ports { 53 } enable_rdata_overflow<br>
><br>
>     # SSL anomaly detection and traffic bypass.  For more information,<br>
>     see README.ssl<br>
>     preprocessor ssl: ports { 443 465 563 636 989 992 993 994 995 5061<br>
>     7801 7802 7900 7901 7902 7903 7904 7905 7906 7907 7908 7909 7910<br>
>     7911 7912 7913 7914 7915 7916 7917 7918 7919 7920 }, trustservers,<br>
>     noinspect_encrypted<br>
><br>
>     # SDF sensitive data preprocessor. For more information see<br>
>     README.sensitive_data<br>
>     preprocessor sensitive_data: alert_threshold 25<br>
><br>
>     # SIP Session Initiation Protocol preprocessor.  For more<br>
>     information see README.sip<br>
>     preprocessor sip: max_sessions 40000, \<br>
>        ports { 5060 5061 5600 }, \<br>
>        methods { invite \<br>
>                  cancel \<br>
>                  ack \<br>
>                  bye \<br>
>                  register \<br>
>                  options \<br>
>                  refer \<br>
>                  subscribe \<br>
>                  update \<br>
>                  join \<br>
>                  info \<br>
>                  message \<br>
>                  notify \<br>
>                  benotify \<br>
>                  do \<br>
>                  qauth \<br>
>                  sprack \<br>
>                  publish \<br>
>                  service \<br>
>                  unsubscribe \<br>
>                  prack }, \<br>
>        max_uri_len 512, \<br>
>        max_call_id_len 80, \<br>
>        max_requestName_len 20, \<br>
>        max_from_len 256, \<br>
>        max_to_len 256, \<br>
>        max_via_len 1024, \<br>
>        max_contact_len 512, \<br>
>        max_content_len 2048<br>
><br>
>     # IMAP preprocessor.  For more information see README.imap<br>
>     preprocessor imap: \<br>
>        ports { 143 } \<br>
>        b64_decode_depth 0 \<br>
>        qp_decode_depth 0 \<br>
>        bitenc_decode_depth 0 \<br>
>        uu_decode_depth 0<br>
><br>
>     # POP preprocessor. For more information see README.pop<br>
>     preprocessor pop: \<br>
>        ports { 110 } \<br>
>        b64_decode_depth 0 \<br>
>        qp_decode_depth 0 \<br>
>        bitenc_decode_depth 0 \<br>
>        uu_decode_depth 0<br>
><br>
>     # Modbus preprocessor. For more information see README.modbus<br>
>     preprocessor modbus: ports { 502 }<br>
><br>
>     # DNP3 preprocessor. For more information see README.dnp3<br>
>     preprocessor dnp3: ports { 20000 } \<br>
>        memcap 262144 \<br>
>        check_crc<br>
><br>
>     # Reputation preprocessor. For more information see README.reputation<br>
>     preprocessor reputation: \<br>
>        memcap 500, \<br>
>        priority whitelist, \<br>
>        nested_ip inner, \<br>
>        whitelist $WHITE_LIST_PATH/white_list.<wbr>rules, \<br>
>        blacklist $BLACK_LIST_PATH/black_list.<wbr>rules<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #6: Configure output plugins<br>
>     # For more information, see Snort Manual, Configuring Snort -<br>
>     Output Modules<br>
>     ##############################<wbr>#####################<br>
><br>
>     # unified2<br>
>     # Recommended for most installs<br>
>     # output unified2: filename merged.log, limit 128, nostamp,<br>
>     mpls_event_types, vlan_event_types<br>
><br>
>     # Additional configuration for specific types of installs<br>
>     # output alert_unified2: filename snort.alert, limit 128, nostamp<br>
>     # output log_unified2: filename snort.log, limit 128, nostamp<br>
><br>
>     # syslog<br>
>     # output alert_syslog: LOG_AUTH LOG_ALERT<br>
><br>
>     # pcap<br>
>     # output log_tcpdump: tcpdump.log<br>
><br>
>     # metadata reference data.  do not modify these lines<br>
>     include classification.config<br>
>     include reference.config<br>
><br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #7: Customize your rule set<br>
>     # For more information, see Snort Manual, Writing Snort Rules<br>
>     #<br>
>     # NOTE: All categories are enabled in this conf file<br>
>     ##############################<wbr>#####################<br>
><br>
>     # site specific rules<br>
>     include $RULE_PATH/local.rules<br>
><br>
>     include $RULE_PATH/app-detect.rules<br>
>     include $RULE_PATH/attack-responses.<wbr>rules<br>
>     include $RULE_PATH/backdoor.rules<br>
>     include $RULE_PATH/bad-traffic.rules<br>
>     include $RULE_PATH/blacklist.rules<br>
>     include $RULE_PATH/botnet-cnc.rules<br>
>     include $RULE_PATH/browser-chrome.<wbr>rules<br>
>     include $RULE_PATH/browser-firefox.<wbr>rules<br>
>     include $RULE_PATH/browser-ie.rules<br>
>     include $RULE_PATH/browser-other.rules<br>
>     include $RULE_PATH/browser-plugins.<wbr>rules<br>
>     include $RULE_PATH/browser-webkit.<wbr>rules<br>
>     include $RULE_PATH/chat.rules<br>
>     include $RULE_PATH/content-replace.<wbr>rules<br>
>     include $RULE_PATH/ddos.rules<br>
>     include $RULE_PATH/dns.rules<br>
>     include $RULE_PATH/dos.rules<br>
>     include $RULE_PATH/experimental.rules<br>
>     include $RULE_PATH/exploit-kit.rules<br>
>     include $RULE_PATH/exploit.rules<br>
>     include $RULE_PATH/file-executable.<wbr>rules<br>
>     include $RULE_PATH/file-flash.rules<br>
>     include $RULE_PATH/file-identify.rules<br>
>     include $RULE_PATH/file-image.rules<br>
>     include $RULE_PATH/file-java.rules<br>
>     include $RULE_PATH/file-multimedia.<wbr>rules<br>
>     include $RULE_PATH/file-office.rules<br>
>     include $RULE_PATH/file-other.rules<br>
>     include $RULE_PATH/file-pdf.rules<br>
>     include $RULE_PATH/finger.rules<br>
>     include $RULE_PATH/ftp.rules<br>
>     include $RULE_PATH/icmp-info.rules<br>
>     include $RULE_PATH/icmp.rules<br>
>     include $RULE_PATH/imap.rules<br>
>     include $RULE_PATH/indicator-<wbr>compromise.rules<br>
>     include $RULE_PATH/indicator-<wbr>obfuscation.rules<br>
>     include $RULE_PATH/indicator-scan.<wbr>rules<br>
>     include $RULE_PATH/indicator-<wbr>shellcode.rules<br>
>     include $RULE_PATH/info.rules<br>
>     include $RULE_PATH/malware-backdoor.<wbr>rules<br>
>     include $RULE_PATH/malware-cnc.rules<br>
>     include $RULE_PATH/malware-other.rules<br>
>     include $RULE_PATH/malware-tools.rules<br>
>     include $RULE_PATH/misc.rules<br>
>     include $RULE_PATH/multimedia.rules<br>
>     include $RULE_PATH/mysql.rules<br>
>     include $RULE_PATH/netbios.rules<br>
>     include $RULE_PATH/nntp.rules<br>
>     include $RULE_PATH/oracle.rules<br>
>     include $RULE_PATH/os-linux.rules<br>
>     include $RULE_PATH/os-mobile.rules<br>
>     include $RULE_PATH/os-other.rules<br>
>     include $RULE_PATH/os-solaris.rules<br>
>     include $RULE_PATH/os-windows.rules<br>
>     include $RULE_PATH/other-ids.rules<br>
>     include $RULE_PATH/p2p.rules<br>
>     include $RULE_PATH/phishing-spam.rules<br>
>     include $RULE_PATH/policy-multimedia.<wbr>rules<br>
>     include $RULE_PATH/policy-other.rules<br>
>     include $RULE_PATH/policy.rules<br>
>     include $RULE_PATH/policy-social.rules<br>
>     include $RULE_PATH/policy-spam.rules<br>
>     include $RULE_PATH/pop2.rules<br>
>     include $RULE_PATH/pop3.rules<br>
>     include $RULE_PATH/protocol-dns.rules<br>
>     include $RULE_PATH/protocol-finger.<wbr>rules<br>
>     include $RULE_PATH/protocol-ftp.rules<br>
>     include $RULE_PATH/protocol-icmp.rules<br>
>     include $RULE_PATH/protocol-imap.rules<br>
>     include $RULE_PATH/protocol-nntp.rules<br>
>     include $RULE_PATH/protocol-other.<wbr>rules<br>
>     include $RULE_PATH/protocol-pop.rules<br>
>     include $RULE_PATH/protocol-rpc.rules<br>
>     include $RULE_PATH/protocol-scada.<wbr>rules<br>
>     include $RULE_PATH/protocol-services.<wbr>rules<br>
>     include $RULE_PATH/protocol-snmp.rules<br>
>     include $RULE_PATH/protocol-telnet.<wbr>rules<br>
>     include $RULE_PATH/protocol-tftp.rules<br>
>     include $RULE_PATH/protocol-voip.rules<br>
>     include $RULE_PATH/pua-adware.rules<br>
>     include $RULE_PATH/pua-other.rules<br>
>     include $RULE_PATH/pua-p2p.rules<br>
>     include $RULE_PATH/pua-toolbars.rules<br>
>     include $RULE_PATH/rpc.rules<br>
>     include $RULE_PATH/rservices.rules<br>
>     include $RULE_PATH/scada.rules<br>
>     include $RULE_PATH/scan.rules<br>
>     include $RULE_PATH/server-apache.rules<br>
>     include $RULE_PATH/server-iis.rules<br>
>     include $RULE_PATH/server-mail.rules<br>
>     include $RULE_PATH/server-mssql.rules<br>
>     include $RULE_PATH/server-mysql.rules<br>
>     include $RULE_PATH/server-oracle.rules<br>
>     include $RULE_PATH/server-other.rules<br>
>     include $RULE_PATH/server-samba.rules<br>
>     include $RULE_PATH/server-webapp.rules<br>
>     include $RULE_PATH/shellcode.rules<br>
>     include $RULE_PATH/smtp.rules<br>
>     include $RULE_PATH/snmp.rules<br>
>     include $RULE_PATH/specific-threats.<wbr>rules<br>
>     include $RULE_PATH/spyware-put.rules<br>
>     include $RULE_PATH/sql.rules<br>
>     include $RULE_PATH/telnet.rules<br>
>     include $RULE_PATH/tftp.rules<br>
>     include $RULE_PATH/virus.rules<br>
>     include $RULE_PATH/voip.rules<br>
>     include $RULE_PATH/web-activex.rules<br>
>     include $RULE_PATH/web-attacks.rules<br>
>     include $RULE_PATH/web-cgi.rules<br>
>     include $RULE_PATH/web-client.rules<br>
>     include $RULE_PATH/web-coldfusion.<wbr>rules<br>
>     include $RULE_PATH/web-frontpage.rules<br>
>     include $RULE_PATH/web-iis.rules<br>
>     include $RULE_PATH/web-misc.rules<br>
>     include $RULE_PATH/web-php.rules<br>
>     include $RULE_PATH/x11.rules<br>
><br>
>     #Include MyRULES<br>
><br>
>     include $RULE_PATH/mytest.rules<br>
>     include $RULE_PATH/mylog.rules<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #8: Customize your preprocessor and decoder alerts<br>
>     # For more information, see README.decoder_preproc_rules<br>
>     ##############################<wbr>#####################<br>
><br>
>     # decoder and preprocessor event rules<br>
>      include $PREPROC_RULE_PATH/<wbr>preprocessor.rules<br>
>      include $PREPROC_RULE_PATH/decoder.<wbr>rules<br>
>      include $PREPROC_RULE_PATH/sensitive-<wbr>data.rules<br>
><br>
>     ##############################<wbr>#####################<br>
>     # Step #9: Customize your Shared Object Snort Rules<br>
>     # For more information, see<br>
>     <a href="http://vrt-blog.snort.org/2009/01/using-vrt-certified-shared-object-rules.html" rel="noreferrer" target="_blank">http://vrt-blog.snort.org/<wbr>2009/01/using-vrt-certified-<wbr>shared-object-rules.html</a><br>
>     <<a href="http://vrt-blog.snort.org/2009/01/using-vrt-certified-shared-object-rules.html" rel="noreferrer" target="_blank">http://vrt-blog.snort.org/<wbr>2009/01/using-vrt-certified-<wbr>shared-object-rules.html</a>><br>
>     ##############################<wbr>#####################<br>
><br>
>     # dynamic library rules<br>
>     # include $SO_RULE_PATH/browser-ie.rules<br>
>     # include $SO_RULE_PATH/browser-other.<wbr>rules<br>
>     # include $SO_RULE_PATH/exploit-kit.<wbr>rules<br>
>     # include $SO_RULE_PATH/file-flash.rules<br>
>     # include $SO_RULE_PATH/file-image.rules<br>
>     # include $SO_RULE_PATH/file-java.rules<br>
>     # include $SO_RULE_PATH/file-multimedia.<wbr>rules<br>
>     # include $SO_RULE_PATH/file-office.<wbr>rules<br>
>     # include $SO_RULE_PATH/file-other.rules<br>
>     # include $SO_RULE_PATH/file-pdf.rules<br>
>     # include $SO_RULE_PATH/indicator-<wbr>shellcode.rules<br>
>     # include $SO_RULE_PATH/malware-cnc.<wbr>rules<br>
>     # include $SO_RULE_PATH/malware-other.<wbr>rules<br>
>     # include $SO_RULE_PATH/netbios.rules<br>
>     # include $SO_RULE_PATH/os-linux.rules<br>
>     # include $SO_RULE_PATH/os-other.rules<br>
>     # include $SO_RULE_PATH/os-windows.rules<br>
>     # include $SO_RULE_PATH/policy-social.<wbr>rules<br>
>     # include $SO_RULE_PATH/protocol-dns.<wbr>rules<br>
>     # include $SO_RULE_PATH/protocol-nntp.<wbr>rules<br>
>     # include $SO_RULE_PATH/protocol-other.<wbr>rules<br>
>     # include $SO_RULE_PATH/protocol-snmp.<wbr>rules<br>
>     # include $SO_RULE_PATH/protocol-voip.<wbr>rules<br>
>     # include $SO_RULE_PATH/pua-p2p.rules<br>
>     # include $SO_RULE_PATH/server-apache.<wbr>rules<br>
>     # include $SO_RULE_PATH/server-iis.rules<br>
>     # include $SO_RULE_PATH/server-mail.<wbr>rules<br>
>     # include $SO_RULE_PATH/server-mysql.<wbr>rules<br>
>     # include $SO_RULE_PATH/server-oracle.<wbr>rules<br>
>     # include $SO_RULE_PATH/server-other.<wbr>rules<br>
>     # include $SO_RULE_PATH/server-webapp.<wbr>rules<br>
><br>
>     # legacy dynamic library rule files<br>
>     # include $SO_RULE_PATH/bad-traffic.<wbr>rules<br>
>     # include $SO_RULE_PATH/browser-ie.rules<br>
>     # include $SO_RULE_PATH/chat.rules<br>
>     # include $SO_RULE_PATH/dos.rules<br>
>     # include $SO_RULE_PATH/exploit.rules<br>
>     # include $SO_RULE_PATH/file-flash.rules<br>
>     # include $SO_RULE_PATH/icmp.rules<br>
>     # include $SO_RULE_PATH/imap.rules<br>
>     # include $SO_RULE_PATH/misc.rules<br>
>     # include $SO_RULE_PATH/multimedia.rules<br>
>     # include $SO_RULE_PATH/netbios.rules<br>
>     # include $SO_RULE_PATH/nntp.rules<br>
>     # include $SO_RULE_PATH/p2p.rules<br>
>     # include $SO_RULE_PATH/smtp.rules<br>
>     # include $SO_RULE_PATH/snmp.rules<br>
>     # include $SO_RULE_PATH/specific-<wbr>threats.rules<br>
>     # include $SO_RULE_PATH/web-activex.<wbr>rules<br>
>     # include $SO_RULE_PATH/web-client.rules<br>
>     # include $SO_RULE_PATH/web-iis.rules<br>
>     # include $SO_RULE_PATH/web-misc.rules<br>
><br>
>     # Event thresholding or suppression commands. See threshold.conf<br>
>     include threshold.conf<br>
><br>
>     rate_filter \<br>
>             gen_id 135, sig_id 1, \<br>
>             track by_src, \<br>
>             count 100, seconds 5, \<br>
>            new_action alert, timeout 10<br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
> ------------------------------<wbr>------------------------------<wbr>------------------<br>
> Check out the vibrant tech community on one of the world's most<br>
> engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>
><br>
><br>
> ______________________________<wbr>_________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7494...83...<wbr>net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" rel="noreferrer" target="_blank">http://sourceforge.net/<wbr>mailarchive/forum.php?forum_<wbr>name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
-------------- next part --------------<br>
An HTML attachment was scrubbed...<br>
<br>
------------------------------<br>
<br>
------------------------------<wbr>------------------------------<wbr>------------------<br>
Check out the vibrant tech community on one of the world's most<br>
engaging tech sites, SlashDot.org! <a href="http://sdm.link/slashdot" rel="noreferrer" target="_blank">http://sdm.link/slashdot</a><br>
<br>
------------------------------<br>
<br>
______________________________<wbr>_________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...3783...<wbr>net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" rel="noreferrer" target="_blank">https://lists.sourceforge.net/<wbr>lists/listinfo/snort-users</a><br>
<br>
<br>
End of Snort-users Digest, Vol 128, Issue 46<br>
******************************<wbr>**************<br>
</blockquote></div><br></div>