<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>
<div>
<div>Complete example.</div>
<div><br>
</div>
<div><br>
</div>
<div>cliffjumper$ ./bin/snort -c etc/ANA-GTP.conf -r etc/ANA-GTP.pcap -Acmg -k none -q</div>
<div>09/08-20:20:15.504682  [**] [1:10000004:0] gtp_type 16 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:3386</div>
<div>09/08-20:20:15.504682 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x6C</div>
<div>10.1.2.3:48620 -> 10.9.8.7:3386 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:94</div>
<div>Len: 66</div>
<div>10 10 00 2E 00 00 00 00 00 00 00 00 00 00 00 00  ................</div>
<div>00 00 00 00 06 00 00 01 0F 02 10 00 01 11 00 00  ................</div>
<div>80 00 02 01 21 83 00 07 65 78 70 6C 6F 69 74 85  ....!...exploit.</div>
<div>00 04 C0 A8 01 01 85 00 04 C0 A8 01 01 86 00 02  ................</div>
<div>00 00                                            ..</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504829  [**] [1:10000004:0] gtp_type 16 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504829 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x64</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:86</div>
<div>Len: 58</div>
<div>32 10 00 32 00 00 00 01 00 01 00 00 06 00 00 01  2..2............</div>
<div>0F 02 10 00 01 11 00 00 80 00 02 01 21 83 00 07  ............!...</div>
<div>65 78 70 6C 6F 69 74 85 00 04 C0 A8 01 01 85 00  exploit.........</div>
<div>04 C0 A8 01 01 86 00 02 00 00                    ..........</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504829  [**] [1:10000003:0] gtp_version 1 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504829 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x64</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:86</div>
<div>Len: 58</div>
<div>32 10 00 32 00 00 00 01 00 01 00 00 06 00 00 01  2..2............</div>
<div>0F 02 10 00 01 11 00 00 80 00 02 01 21 83 00 07  ............!...</div>
<div>65 78 70 6C 6F 69 74 85 00 04 C0 A8 01 01 85 00  exploit.........</div>
<div>04 C0 A8 01 01 86 00 02 00 00                    ..........</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504901  [**] [1:10000005:0] gtp_type 32 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504901 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x45</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:55</div>
<div>Len: 27</div>
<div>58 20 00 17 00 00 00 01 00 01 00 00 5D 00 00 00  X ..........]...</div>
<div>47 00 07 00 65 78 70 6C 6F 69 74                 G...exploit</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 7:45 AM<br>
<span style="font-weight:bold">To: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>Try these with the pcap I sent you. These are for the version and type.</div>
<div><br>
</div>
<div>
<div>alert udp any any -> any any ( msg:"gtp_version 1"; sid:10000003; gtp_version:1;)</div>
<div>alert udp any any -> any any ( msg:"gtp_type 16"; sid:10000004; gtp_type:16; )</div>
<div>alert udp any any -> any any ( msg:"gtp_type 32"; sid:10000005; gtp_type:32; )</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 7:32 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Thanks Albert,</p>
<p>My rules are similar than yours, but with gtp_version and gt_type:</p>
<p><br class="Apple-interchange-newline">
<span style="font-family: Courier, sans-serif; font-size: 14px;">alert udp any any -> any any ( msg:"gtp_version"; sid:10000003; gtp_version:1;)</span><br>
</p>
<p><span style="font-family: Courier, sans-serif; font-size: 14px;"><span style="font-family: Courier, sans-serif; font-size: 14px;">alert udp any any -> any any ( msg:"gtp_type</span><span style="font-family: Courier, sans-serif; font-size: 14px;">"; sid:10000004;
 gtp_type:255; )</span><br>
</span></p>
<p><span style="font-family: Courier, sans-serif; font-size: 14px;"><span style="font-family: Courier, sans-serif; font-size: 14px;"><br>
</span></span></p>
<p><font face="Courier,sans-serif"><span style="font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;">So, when I add any of </span></font><font face="Courier,sans-serif"><span style="font-size: 14px;"><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt;">these
 gtp params, the alert is not triggering</span><span style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt;">. It seems like is not processing gtp information correctly. My snort.conf is like the manual says:</span></span></font></p>
<p><font face="Courier,sans-serif"><span style="font-size: 14px;"><br>
</span></font></p>
<p><span style="font-family: Courier, sans-serif; font-size: 14px;"><span style="font-family: Courier, sans-serif; font-size: 14px;"></span></span></p>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i>config enable_gtp</i><i><br>
</i></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i>portvar GTP_PORTS [2152,3386]</i><i><br>
</i></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i>preprocessor gtp: </i><i>ports { 2123 3386 2152 }</i></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i><br>
</i></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
Thanks</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i><br>
</i></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<i><br>
</i></div>
<br>
<p></p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 12:04:55<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div>
<div>
<div>Example attached.</div>
<div><br>
</div>
<div>cliffjumper$ ./bin/snort -c etc/ANNA-gtp.conf -r etc/ANNA-gtp.pcap -Acmg -k none -q</div>
<div>09/08-20:20:15.504682  [**] [1:1:0] gtp_info numeric [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:3386</div>
<div>09/08-20:20:15.504682 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x6C</div>
<div>10.1.2.3:48620 -> 10.9.8.7:3386 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:94</div>
<div>Len: 66</div>
<div>10 10 00 2E 00 00 00 00 00 00 00 00 00 00 00 00  ................</div>
<div>00 00 00 00 06 00 00 01 0F 02 10 00 01 11 00 00  ................</div>
<div>80 00 02 01 21 83 00 07 65 78 70 6C 6F 69 74 85  ....!...exploit.</div>
<div>00 04 C0 A8 01 01 85 00 04 C0 A8 01 01 86 00 02  ................</div>
<div>00 00                                            ..</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504901  [**] [1:2:0] gtp_info numeric [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504901 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x45</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:55</div>
<div>Len: 27</div>
<div>58 20 00 17 00 00 00 01 00 01 00 00 5D 00 00 00  X ..........]...</div>
<div>47 00 07 00 65 78 70 6C 6F 69 74                 G...exploit</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>alert udp any any -> any any ( msg:"gtp_info numeric"; sid:1; gtp_info:131; )</div>
<div>alert udp any any -> any any ( msg:"gtp_info numeric"; sid:2; gtp_info:71; )</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 6:42 AM<br>
<span style="font-weight:bold">To: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>>, "Joel Esler (jesler)" <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>
<div>Can you send us the pcap please?</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 6:29 AM<br>
<span style="font-weight:bold">To: </span>"Joel Esler (jesler)" <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Hi again,</p>
<p><br>
</p>
<p>I can not make Snort gtp preprocessor and decoder working.</p>
<p>I have reviewed many times the snort manual and follow instructions to configure it to be able to manage gtp_rules. These are the lines in my snort.conf related to gtp:</p>
<p><span><i><span>config enable_gtp</span><br>
</i></span></p>
<p><span><span><i><span>portvar GTP_PORTS [2152,3386]</span><br>
</i></span></span></p>
<p><span><i>preprocessor gtp: </i><span><i>ports { 2123 3386 2152 }</i></span></span><br>
</p>
<p><span><span><i><br>
</i></span></span></p>
<p><span><span>I have also checked that stream5 and frag3 are actived, and I saw that they were by default in my configuration. Is there any other way to check it better?</span></span></p>
<p><br>
</p>
<p>Then, I have tried with a pcap I have that includes GTP encapsulation. I can see that with Wireshark, and also its gtp version and message type. </p>
<p>Unfortunately, when I add some gtp_version ( I tried with the three, just in case) or gtp_type in my rule it doesn't trigger the Alert. </p>
<p>My alert is a very simple one for UDP, that used to be triggered with this pcap before adding ant gtp rule.</p>
<p><br>
</p>
<p>Does anybody have had the same problem or know how could it be solved?</p>
<p>Thanks</p>
<p><br>
</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<b>Sent:</b> 09 February 2017 11:10:37<br>
<b>To:</b> Joel Esler (jesler)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Thanks Joel,</p>
<p>I didn't know this tool until know, very useful. Now, I have run it with my last snort.u2 log, but I can not get any gtp information. </p>
<p>As I said I have already enabled gtp in my config file. Should I use any special option when running Snort to obtain this gtp information? </p>
<p>Thanks</p>
<p><br>
</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Joel Esler (jesler) <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>
<b>Sent:</b> 08 February 2017 20:06:32<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>It may not be a field that is inserted into the db.  It may be in the unified2 output file that you can access with u2spewfoo in the contrib/ directory.
<div class=""><br class="">
<div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div class=""><b style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><font color="#5e5e5e" class="">--</font></b></div>
<div style="font-size: 14px;" class=""><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#5e5e5e" class="">Joel Esler </font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class="">| </span><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#0096ff" class="">Talos:</font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class=""> M</span><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 12px;" class="">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div style="">
<blockquote type="cite" class="">
<div class="">On Feb 8, 2017, at 2:54 PM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" style="font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; font-size: 12pt; font-family: Calibri, Arial, Helvetica, sans-serif;" class="">
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Hi all,</div>
<div style="margin-top: 0px; margin-bottom: 0px;" class="">Again with an encapsulation question.</div>
<div style="margin-top: 0px; margin-bottom: 0px; text-align: justify;" class="">I am trying to understand how Snort manage GTP encapsulation, that I know that is supported. I already enable gtp in my config file by " config enable_gtp". </div>
<div style="margin-top: 0px; margin-bottom: 0px; text-align: justify;" class="">I run Snort with different pcaps that I have that include GTP and trying to see which info I obtained from Snort with a very silly rule to be sure that is triggerred.</div>
<div style="margin-top: 0px; margin-bottom: 0px; text-align: justify;" class="">My question is the following: Does somebody know where in the database is stored the TEID ( tunnel identifier ) of the packet that triggered the alert? . I have seen in Snort source code
 that it's parsed. But then I can not find it in the database.</div>
<div style="margin-top: 0px; margin-bottom: 0px; text-align: justify;" class="">Thanks</div>
</div>
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">------------------------------------------------------------------------------</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Check
 out the vibrant tech community on one of the world's most</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">engaging
 tech sites,<span class="Apple-converted-space"> </span></span><a href="http://slashdot.org/" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">SlashDot.org</a><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">!<span class="Apple-converted-space"> </span></span><a href="http://sdm.link/slashdot_______________________________________________" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">http://sdm.link/slashdot_______________________________________________</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Snort-users
 mailing list</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="mailto:Snort-users@lists.sourceforge.net" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">Snort-users@lists.sourceforge.net</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Go
 to this URL to change user options or unsubscribe:</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Snort-users
 list archive:</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">
<span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Please
 visit<span class="Apple-converted-space"> </span></span><a href="http://blog.snort.org/" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px;" class="">http://blog.snort.org</a><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class=""><span class="Apple-converted-space"> </span>to
 stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</div>
</div>
</span></span></div>
</div>
</span></span></div>
</div>
</div>
</div>
</span></span></div>
</div>
</span></span>
</body>
</html>