<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>Works for me. Did you disable checksum verification? (pcap has bad checksums)</div>
<div><br>
</div>
<div>Version 0:</div>
<div><br>
</div>
<div>
<div>ALLEWI-M-8257:snort-2.9.9.0-released allewi$ ./bin/snort -c etc/ANA3.conf -r ~/Downloads/gtp3.pcap -Acmg -k none -q</div>
<div>05/16-15:12:34.547278  [**] [1:10000006:0] gtp_version 0 [**] [Priority: 0] {UDP} 127.0.0.2:3386 -> 127.0.0.1:3386</div>
<div>05/16-15:12:34.547278 00:00:00:00:00:00 -> 00:00:00:00:00:00 type:0x800 len:0x8D</div>
<div>127.0.0.2:3386 -> 127.0.0.1:3386 UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:127 DF</div>
<div>Len: 99</div>
<div>1E 10 00 4F 10 01 00 00 FF FF FF FF 42 00 01 21  ...O........B..!</div>
<div>43 65 87 09 06 0B 92 1F 0E 04 0F 01 10 00 01 11  Ce..............</div>
<div>00 01 80 00 02 F1 21 83 00 09 08 69 6E 74 65 72  ......!....inter</div>
<div>6E 65 74 84 00 15 80 C0 23 11 01 01 00 11 03 6D  net.....#......m</div>
<div>69 67 08 68 65 6D 6D 65 6C 69 67 85 00 04 7F 00  ig.hemmelig.....</div>
<div>00 02 85 00 04 7F 00 00 02 86 00 07 91 64 07 12  .............d..</div>
<div>32 54 F6                                         2T.</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Type 255:</div>
<div><br>
</div>
<div>
<div>ALLEWI-M-8257:snort-2.9.9.0-released allewi$ ./bin/snort -c etc/ANA3.conf -r ~/Downloads/gtp3.pcap -Acmg -k none -q</div>
<div>05/16-15:24:34.684727  [**] [1:10000004:0] udp gtp_type 255 [**] [Priority: 0] {UDP} 127.0.0.2:3386 -> 127.0.0.1:3386</div>
<div>05/16-15:24:34.684727 00:00:00:00:00:00 -> 00:00:00:00:00:00 type:0x800 len:0x92</div>
<div>127.0.0.2:3386 -> 127.0.0.1:3386 UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:132 DF</div>
<div>Len: 104</div>
<div>1E FF 00 54 00 00 00 01 FF FF FF FF 42 00 01 21  ...T........B..!</div>
<div>43 65 87 09 45 00 00 54 00 00 40 00 40 01 C5 3F  Ce..E..T..@...843...@..?</div>
<div>C0 A8 00 03 D1 55 E3 68 08 00 E5 E9 00 00 00 00  .....U.h........</div>
<div>82 54 F0 4B AA 72 0A 00 08 09 0A 0B 0C 0D 0E 0F  .T.K.r..........</div>
<div>10 11 12 13 14 15 16 17 18 19 1A 1B 1C 1D 1E 1F  ................</div>
<div>20 21 22 23 24 25 26 27 28 29 2A 2B 2C 2D 2E 2F   !"#$%&'()*+,-./</div>
<div>30 31 32 33 34 35 36 37                          01234567</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
</div>
<div><br>
</div>
</div>
<div><br>
</div>
<div>
<div>ALLEWI-M-8257:snort-2.9.9.0-released allewi$ cat etc/ANA3.conf | grep ^alert</div>
<div>alert udp any any -> any any (msg:"udp gtp_type 255"; sid:10000004; gtp_type:255; )</div>
<div>alert udp any any -> any any ( msg:"gtp_version 0"; sid:10000006; gtp_version:0; )</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, February 14, 2017 at 7:49 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; font-size: 14px; font-family: Courier, sans-serif;">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Sorry, I forgot to attach the pcap</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ana Serrano Mamolar<br>
<b>Sent:</b> 14 February 2017 12:48:56<br>
<b>To:</b> Al Lewis (allewi)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Regarding to my last message, I have other pcaps with just GTP encapsulation that are also not matching by gtp_version or gtp_type when I run Snort. I attach an example that I found on the Internet with gtp_version 0  and gtp_type 255.</p>
<p>With this pcap Snort is not matching any of my rules</p>
<p></p>
<div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px;">
alert udp any any -> any any (msg:"udp gtp_version 0"; sid:10000003; gtp_version:0; )</div>
<div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px;">
alert udp any any -> any any (msg:"udp gtp_type 255"; sid:10000004; gtp_type:255; )</div>
<div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px;">
<br>
</div>
<div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px;">
<span style="font-family: Calibri, Arial, Helvetica, sans-serif;"><span style="font-size: 12pt;">I am trying to see the differences between this pcap and the last I attached, and I can no find any different that could cause that Snort wouldn't match gtp params
 for the last one but yes for the first one.</span></span><br>
</div>
<div style="color: rgb(34, 34, 34); font-family: arial, sans-serif; font-size: 12.8px;">
<span style="font-family: Calibri, Arial, Helvetica, sans-serif;"><span style="font-size: 12pt;"><br>
</span></span></div>
<br>
<p></p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<b>Sent:</b> 14 February 2017 12:15:21<br>
<b>To:</b> Al Lewis (allewi)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>It also seems that, if you have 2 encapsulations, like VXLAN/GTP or GRE/GTP gtp_version or gtp_type parameters can not be matched.</p>
<p><br>
</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ana Serrano Mamolar<br>
<b>Sent:</b> 14 February 2017 12:13:40<br>
<b>To:</b> Al Lewis (allewi)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Ok, </p>
<p>So we can not filter by gtp_version and inner IP.</p>
<p>Thanks for your help Albert.</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 14 February 2017 11:57:39<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div style="color: rgb(0, 0, 0);">Correct. Once you enable_gtp it doesn’t look like you can match “back” on the previous header. The “inner” packet is what shows up to detection.</div>
<div style="color: rgb(0, 0, 0);"><br>
</div>
<div style="color: rgb(0, 0, 0);"><br>
</div>
<div style="color: rgb(0, 0, 0);">
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div style="color: rgb(0, 0, 0);"><br>
</div>
<span id="OLK_SRC_BODY_SECTION" style="color: rgb(0, 0, 0);">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, February 14, 2017 at 5:47 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Hi Albert, </p>
<p>Thanks a lot for your help. I think I was misunderstanding the "enable_gtp" meaning. So now, by disabling it, I can use my rules to filter by gtp_version and gtp_type.</p>
<p>So, that means that I can not filter by , for instance, gtp_version and ip in gtp layer at the same time. Am I right? </p>
<p>I mean, in the pcap I attached yesterday. How would be the way to get events with a concrete gtp_type  and ip_source 202.11.40.158 ?</p>
<p><br>
</p>
<p>Thanks</p>
<p><br>
</p>
<p><br>
</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 18:37:55<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div>
<div>Ana,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>When “config enable_gtp” is set Snort will decode the packet and remove the GTP headers. They will show up in detection as the next layer header (in this case icmp). </div>
<div><br>
</div>
<div>If you want to match specifically on the value OF 255 (pdu) within the gtp header you need to remove the “config enable_gtp” option so that Snort doesn’t pop the GTP header.  </div>
<div> </div>
</div>
<div><br>
</div>
<div>
<div>alewis@...17553...:/var/tmp/snort-2.9.8.3$ ./bin/snort -c etc/ANA-GTP-1.conf -r etc/ANA-GTP-3.pcap -Acmg -q</div>
<div>12/10-05:53:35.441511  [**] [1:10000005:0] gtp_type 255 [**] [Priority: 0] {UDP} 192.168.40.179:2152 -> 192.168.40.178:2152</div>
<div>12/10-05:53:35.441511 00:0C:29:E3:C6:4D -> 00:0C:29:DA:D1:DE type:0x800 len:0x8A</div>
<div>192.168.40.179:2152 -> 192.168.40.178:2152 UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:124 DF</div>
<div>Len: 96</div>
<div>32 FF 00 58 00 00 00 01 28 DB 00 00 45 00 00 54  2..X....(...E..T</div>
<div>00 00 40 00 40 01 5E A5 CA 0B 28 9E C0 A8 28 B2  ..@...843...@.^...(...(.</div>
<div>08 00 BE E7 00 00 28 7B 04 11 20 4B F4 3D 0D 00  ......({.. K.=..</div>
<div>08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17  ................</div>
<div>18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27  ........ !"#$%&'</div>
<div>28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37  ()*+,-./01234567</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div>12/10-05:53:35.441511  [**] [1:10000005:0] gtp_type 255 [**] [Priority: 0] {UDP} 192.168.40.179:2152 -> 192.168.40.178:2152</div>
<div>12/10-05:53:35.441511 00:0C:29:E3:C6:4D -> 00:0C:29:DA:D1:DE type:0x800 len:0x8A</div>
<div>192.168.40.179:2152 -> 192.168.40.178:2152 UDP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:124 DF</div>
<div>Len: 96</div>
<div>32 FF 00 58 00 00 00 01 28 DB 00 00 45 00 00 54  2..X....(...E..T</div>
<div>00 00 40 00 40 01 5E A5 CA 0B 28 9E C0 A8 28 B2  ..@...843...@.^...(...(.</div>
<div>08 00 BE E7 00 00 28 7B 04 11 20 4B F4 3D 0D 00  ......({.. K.=..</div>
<div>08 09 0A 0B 0C 0D 0E 0F 10 11 12 13 14 15 16 17  ................</div>
<div>18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27  ........ !"#$%&'</div>
<div>28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37  ()*+,-./01234567</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>alewis@...17553...:/var/tmp/snort-2.9.8.3$ cat etc/ANA-GTP-1.conf | grep "type 255"</div>
<div><br>
</div>
<div>alert udp any any -> any any ( msg:"gtp_type 255"; sid:10000005; gtp_version: 1; gtp_type:255; )</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Also the gtp_version should be 1 in this case and not 0. </div>
<div><br>
</div>
<div><br>
</div>
<div>Thanks!</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 11:35 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>>, 'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p>Here I attach a pcap I downloaded as an example, and with which I have the same problem. <span style="font-size: 12pt;">Not triggering any of my alerts of rules with gtp params. As you can see in the pcap, it is also gtp_version:0 and gtp_type:255.</span></p>
<p>Hope this is useful for you.</p>
<p>Thanks</p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Ana Serrano Mamolar<br>
<b>Sent:</b> 13 February 2017 16:26:07<br>
<b>To:</b> Al Lewis (allewi); <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<p></p>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<font face="Calibri,Arial,Helvetica,sans-serif,Apple Color Emoji,Segoe UI Emoji,NotoColorEmoji,Segoe UI Symbol,Android Emoji,EmojiSymbols" size="2"><span style="font-size: 16px;">Yes, both of them match with my pcap , version and type. At least , Wireshark
 shows </span></font></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<font face="Calibri,Arial,Helvetica,sans-serif,Apple Color Emoji,Segoe UI Emoji,NotoColorEmoji,Segoe UI Symbol,Android Emoji,EmojiSymbols" size="2"><span style="font-size: 16px;"><i>Version: GTP release 99 (1)</i></span></font></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<font face="Calibri,Arial,Helvetica,sans-serif,Apple Color Emoji,Segoe UI Emoji,NotoColorEmoji,Segoe UI Symbol,Android Emoji,EmojiSymbols" size="2"><span style="font-size: 16px;"><i>Protocol type: GTP (1)</i></span></font></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<font face="Calibri,Arial,Helvetica,sans-serif,Apple Color Emoji,Segoe UI Emoji,NotoColorEmoji,Segoe UI Symbol,Android Emoji,EmojiSymbols" size="2"><span style="font-size: 16px;"><i>Message Type: T-PDU (0xff).</i></span></font></div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 16px; margin-top: 0px; margin-bottom: 0px;">
<font face="Calibri,Arial,Helvetica,sans-serif,Apple Color Emoji,Segoe UI Emoji,NotoColorEmoji,Segoe UI Symbol,Android Emoji,EmojiSymbols" size="2"><span style="font-size: 16px;">Anyway, just for discard that it was the reason and Wireshark was showing wrong
 values , I tried with the three versions of gtp (0,1 and 2), but with none of them the alert was triggered. That's why I thought there was a problem with gtp params.</span></font></div>
<br>
<p></p>
</div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" style="font-size:11pt" color="#000000"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 13:26:48<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div>
<div>Is the message type in your pcap a pdu (255)? </div>
<div><br>
</div>
<div>The readme file for snort lists the message types and their numbers.</div>
<div><br>
</div>
<div>See the README.GTP file for details.</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 8:21 AM<br>
<span style="font-weight:bold">To: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Courier, sans-serif;">
<div>
<div>If this is the case then whatever is in your pcap doesn’t match the values you are looking for.</div>
<div><br>
</div>
<div>Without the pcap its difficult for me to tell for sure.</div>
<div><br>
</div>
<div>Make sure the version and type match your options you are setting in your rule.</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<b><span style="font-size: 12pt; color: rgb(31, 73, 125);"><font face="Courier">Albert Lewis<o:p></o:p></font></span></b></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="color: rgb(153, 153, 153); font-size: 12pt;">SOURCE</span><b><span style="font-size: 12pt; color: red;">fire</span></b><span style="color: rgb(153, 153, 153); font-size: 12pt;">, Inc. </span><span style="color: rgb(136, 136, 136); font-size: 12pt;">now
 part of </span><b><span style="font-size: 12pt;"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family: -webkit-standard; margin: 0in 0in 0.0001pt; font-size: 11pt;">
<font face="Courier"><span style="font-size: 12pt; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 8:17 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div><style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
<div dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;" dir="ltr">
<div id="divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>Hi,</p>
<p>This file is already included in my snort.conf.</p>
<p><span style="font-family:Courier,sans-serif; font-size:14px">include $RULE_PATH/local_rules</span><br>
</p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><br>
</span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt">As I said, I know that this file rules is being loaded by snort, since, if I remove the gtp param ,</span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt">so if just leave the rule like that:</span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px">alert udp any any -> any any ( msg:"gtp_version";
 sid:10000003; </span></span></span><br>
</span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt">then,
 this alert  is being triggered.</span></span><br>
</span></span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-size: 10pt;">01/19-19:55:10.052620
  [**] [1:10000003:0] gtp_version [**] [Priority: 0] {UDP} </span><br>
</span></span></span></span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><br>
</span></span></span></span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><br>
</span></span></span></span></span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt">Thanks</span></span></span></span></span></span></p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 13:09:02<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div><font face="Courier">For the example I gave just copy the rules into the conf file. Then run snort again and it should alert (as shown in the other email)</font></div>
<div style="color:rgb(0,0,0); font-size:14px"><br>
</div>
<div style="color:rgb(0,0,0); font-size:14px"><span style="font-family:Courier">If you have your rules in a separate config file then you need to include the other file in your config.</span></div>
<div style="color:rgb(0,0,0); font-size:14px"><br>
</div>
<div style="color:rgb(0,0,0); font-size:14px"><font face="Courier">The file must be explicitly included into your conf with the “include” keyword.</font></div>
<div style="color:rgb(0,0,0); font-size:14px"><font face="Courier"><br>
</font></div>
<div><font face="Courier">Something like: 'include <span style="font-size:16px">/etc/snort/rules/local.rules’ should be in your file.</span></font></div>
<div><font face="Courier"><br>
</font></div>
<div><span style="font-size:16px"><font face="Courier">Also make sure you don’t have overlapping rule ID’s on the include.</font></span></div>
<div><br>
</div>
<div><br>
</div>
<div style="color:rgb(0,0,0); font-family:Courier,sans-serif; font-size:14px"><br>
</div>
<div style="color:rgb(0,0,0); font-family:Courier,sans-serif; font-size:14px"><br>
</div>
<div style="color:rgb(0,0,0); font-family:Courier,sans-serif; font-size:14px">
<div id="">
<div>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><b><span style="font-size:12pt; color:rgb(31,73,125)"><font face="Courier">Albert Lewis</font></span></b></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="color:rgb(153,153,153); font-size:12pt">SOURCE</span><b><span style="font-size:12pt; color:red">fire</span></b><span style="color:rgb(153,153,153); font-size:12pt">,
 Inc. </span><span style="color:rgb(136,136,136); font-size:12pt">now part of </span><b><span style="font-size:12pt"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="font-size:12pt; color:rgb(153,153,153)">Email: </span><span style="font-size:12pt"><a href="mailto:allewi@...589..." style="color:purple">allewi@...589...</a><span style="color:rgb(79,129,189)"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div style="color:rgb(0,0,0); font-family:Courier,sans-serif; font-size:14px"><br>
</div>
<span id="OLK_SRC_BODY_SECTION" style="color:rgb(0,0,0); font-family:Courier,sans-serif; font-size:14px">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; border-bottom:medium none; border-left:medium none; padding-bottom:0in; padding-left:0in; padding-right:0in; border-top:#b5c4df 1pt solid; border-right:medium none; padding-top:3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 7:59 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="">
<div>
<div style="word-wrap:break-word; color:rgb(0,0,0); font-size:14px; font-family:Courier,sans-serif">
<style type="text/css" style="display:none"> <!-- p        {margin-top:0;  margin-bottom:0} --> </style>
<div id="divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>When I run Snort as you said ( <span style="font-family:Courier,sans-serif; font-size:14px">
./bin/snort -c etc/ANA-GTP.conf -r etc/ANA-GTP.pcap -Acmg -k none -q ),</span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"></span> I don't have anything since any alert is being triggered.</p>
<p><br>
</p>
<p>Then, if I run <span style="font-family:Courier,sans-serif; font-size:14px"> " cat /etc/snort/snort.conf | grep 100000 " <span style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt">I neither get my rules. Should I ? My rules are loaded in
 a separate file in /etc/snort/rules/local.rules. These rules are being loaded, since if I remove the gtp parameter from them, the alert is triggered.</span></span></p>
<p><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:12pt"><br>
</span></span></p>
<p><font face="Calibri,Arial,Helvetica,sans-serif">When you write <span style="font-family:Courier,sans-serif; font-size:14px">etc/ANA-GTP.conf <span style="font-family:Calibri,Arial,Helvetica,sans-serif">, it<span style="font-size:12pt"> does means that there
 is a separate configuration for GTP dtection? I am using the same "snort.conf" for everything.</span></span></span></font></p>
<p><font face="Calibri,Arial,Helvetica,sans-serif"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><br>
</span></span></span></font></p>
<p><font face="Calibri,Arial,Helvetica,sans-serif"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt">Thanks</span></span></span></font></p>
<p><font face="Calibri,Arial,Helvetica,sans-serif"><span style="font-family:Courier,sans-serif; font-size:14px"><span style="font-family:Calibri,Arial,Helvetica,sans-serif"><span style="font-size:12pt"><br>
</span></span></span></font></p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 12:49:16<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div>You should get something like this:</div>
<div><br>
</div>
<div>cliffjumper$ ./bin/snort -c etc/ANA-GTP.conf -r etc/ANA-GTP.pcap -Acmg -k none -q</div>
<div>09/08-20:20:15.504682  [**] [1:10000004:0] gtp_type 16 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:3386</div>
<div>09/08-20:20:15.504682 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x6C</div>
<div>10.1.2.3:48620 -> 10.9.8.7:3386 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:94</div>
<div>Len: 66</div>
<div>10 10 00 2E 00 00 00 00 00 00 00 00 00 00 00 00  ................</div>
<div>00 00 00 00 06 00 00 01 0F 02 10 00 01 11 00 00  ................</div>
<div>80 00 02 01 21 83 00 07 65 78 70 6C 6F 69 74 85  ....!...exploit.</div>
<div>00 04 C0 A8 01 01 85 00 04 C0 A8 01 01 86 00 02  ................</div>
<div>00 00                                            ..</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504829  [**] [1:10000004:0] gtp_type 16 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504829 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x64</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:86</div>
<div>Len: 58</div>
<div>32 10 00 32 00 00 00 01 00 01 00 00 06 00 00 01  2..2............</div>
<div>0F 02 10 00 01 11 00 00 80 00 02 01 21 83 00 07  ............!...</div>
<div>65 78 70 6C 6F 69 74 85 00 04 C0 A8 01 01 85 00  exploit.........</div>
<div>04 C0 A8 01 01 86 00 02 00 00                    ..........</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504829  [**] [1:10000003:0] gtp_version 1 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504829 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x64</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:86</div>
<div>Len: 58</div>
<div>32 10 00 32 00 00 00 01 00 01 00 00 06 00 00 01  2..2............</div>
<div>0F 02 10 00 01 11 00 00 80 00 02 01 21 83 00 07  ............!...</div>
<div>65 78 70 6C 6F 69 74 85 00 04 C0 A8 01 01 85 00  exploit.........</div>
<div>04 C0 A8 01 01 86 00 02 00 00                    ..........</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>09/08-20:20:15.504901  [**] [1:10000005:0] gtp_type 32 [**] [Priority: 0] {UDP} 10.1.2.3:48620 -> 10.9.8.7:2123</div>
<div>09/08-20:20:15.504901 02:01:02:03:04:05 -> 02:09:08:07:06:05 type:0x800 len:0x45</div>
<div>10.1.2.3:48620 -> 10.9.8.7:2123 UDP TTL:64 TOS:0x0 ID:1 IpLen:20 DgmLen:55</div>
<div>Len: 27</div>
<div>58 20 00 17 00 00 00 01 00 01 00 00 5D 00 00 00  X ..........]...</div>
<div>47 00 07 00 65 78 70 6C 6F 69 74                 G...exploit</div>
<div><br>
</div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+</div>
<div><br>
</div>
<div><br>
</div>
<div>Rules...</div>
<div><br>
</div>
<div><br>
</div>
<div>ALLEWI-M-8257:snort-2.9.9.0-released allewi$ cat etc/ANA-GTP.conf | grep 100000</div>
<div>alert udp any any -> any any ( msg:"gtp_version 1"; sid:10000003; gtp_version:1;)</div>
<div>alert udp any any -> any any ( msg:"gtp_type 16"; sid:10000004; gtp_type:16; )</div>
<div>alert udp any any -> any any ( msg:"gtp_type 32"; sid:10000005; gtp_type:32; )</div>
<div><br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><b><span style="font-size:12pt; color:rgb(31,73,125)"><font face="Courier">Albert Lewis</font></span></b></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="color:rgb(153,153,153); font-size:12pt">SOURCE</span><b><span style="font-size:12pt; color:red">fire</span></b><span style="color:rgb(153,153,153); font-size:12pt">,
 Inc. </span><span style="color:rgb(136,136,136); font-size:12pt">now part of </span><b><span style="font-size:12pt"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="font-size:12pt; color:rgb(153,153,153)">Email: </span><span style="font-size:12pt"><a href="mailto:allewi@...589..." style="color:purple">allewi@...589...</a><span style="color:rgb(79,129,189)"> </span></span></font></p>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; border-bottom:medium none; border-left:medium none; padding-bottom:0in; padding-left:0in; padding-right:0in; border-top:#b5c4df 1pt solid; border-right:medium none; padding-top:3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 7:01 AM<br>
<span style="font-weight:bold">To: </span>allewi <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="">
<div>
<div style="word-wrap:break-word; color:rgb(0,0,0); font-size:14px; font-family:Courier,sans-serif">
<style type="text/css" style="display:none"> <!-- p        {margin-top:0;  margin-bottom:0} --> </style>
<div id="divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>Hi Albert,</p>
<p>Unfortunately I can not send the pcap. If the reason for having that was to see GTP encapsulation, I can assure you that it has, and it is also showed when I open with Wireshark (in the GPRS Tunneling Protocol layer).</p>
<p>Thanks  </p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Al Lewis (allewi) <<a href="mailto:allewi@...589...">allewi@...589...</a>><br>
<b>Sent:</b> 13 February 2017 11:42:15<br>
<b>To:</b> Ana Serrano Mamolar; Joel Esler (jesler)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>
<div>
<div>
<div>Can you send us the pcap please?</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="">
<div>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><b><span style="font-size:12pt; color:rgb(31,73,125)"><font face="Courier">Albert Lewis</font></span></b></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="color:rgb(153,153,153); font-size:12pt">SOURCE</span><b><span style="font-size:12pt; color:red">fire</span></b><span style="color:rgb(153,153,153); font-size:12pt">,
 Inc. </span><span style="color:rgb(136,136,136); font-size:12pt">now part of </span><b><span style="font-size:12pt"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt; font-size:11pt"><font face="Courier"><span style="font-size:12pt; color:rgb(153,153,153)">Email: </span><span style="font-size:12pt"><a href="mailto:allewi@...589..." style="color:purple">allewi@...589...</a><span style="color:rgb(79,129,189)"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; border-bottom:medium none; border-left:medium none; padding-bottom:0in; padding-left:0in; padding-right:0in; border-top:#b5c4df 1pt solid; border-right:medium none; padding-top:3pt">
<span style="font-weight:bold">From: </span>Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, February 13, 2017 at 6:29 AM<br>
<span style="font-weight:bold">To: </span>"Joel Esler (jesler)" <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>
<span style="font-weight:bold">Cc: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] Snort and GTP encapsulation info<br>
</div>
<div><br>
</div>
<span style="">
<div>
<div class="" style="word-wrap:break-word"><style type="text/css" style="display:none"> <!-- p   {margin-top:0;  margin-bottom:0} --> </style>
<div id="divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>Hi again,</p>
<p><br>
</p>
<p>I can not make Snort gtp preprocessor and decoder working.</p>
<p>I have reviewed many times the snort manual and follow instructions to configure it to be able to manage gtp_rules. These are the lines in my snort.conf related to gtp:</p>
<p><span><i><span>config enable_gtp</span><br>
</i></span></p>
<p><span><span><i><span>portvar GTP_PORTS [2152,3386]</span><br>
</i></span></span></p>
<p><span><i>preprocessor gtp: </i><span><i>ports { 2123 3386 2152 }</i></span></span><br>
</p>
<p><span><span><i><br>
</i></span></span></p>
<p><span><span>I have also checked that stream5 and frag3 are actived, and I saw that they were by default in my configuration. Is there any other way to check it better?</span></span></p>
<p><br>
</p>
<p>Then, I have tried with a pcap I have that includes GTP encapsulation. I can see that with Wireshark, and also its gtp version and message type. </p>
<p>Unfortunately, when I add some gtp_version ( I tried with the three, just in case) or gtp_type in my rule it doesn't trigger the Alert. </p>
<p>My alert is a very simple one for UDP, that used to be triggered with this pcap before adding ant gtp rule.</p>
<p><br>
</p>
<p>Does anybody have had the same problem or know how could it be solved?</p>
<p>Thanks</p>
<p><br>
</p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Ana Serrano Mamolar <<a href="mailto:B00315494@...17757...">B00315494@...17757...</a>><br>
<b>Sent:</b> 09 February 2017 11:10:37<br>
<b>To:</b> Joel Esler (jesler)<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div><style type="text/css" style="display:none"> <!-- p     {margin-top:0;  margin-bottom:0} --> </style>
<div id="divtagdefaultwrapper" dir="ltr" style="font-size:12pt; color:#000000; font-family:Calibri,Arial,Helvetica,sans-serif">
<p>Thanks Joel,</p>
<p>I didn't know this tool until know, very useful. Now, I have run it with my last snort.u2 log, but I can not get any gtp information. </p>
<p>As I said I have already enabled gtp in my config file. Should I use any special option when running Snort to obtain this gtp information? </p>
<p>Thanks</p>
<p><br>
</p>
</div>
<hr tabindex="-1" style="display:inline-block; width:98%">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri,sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Joel Esler (jesler) <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>
<b>Sent:</b> 08 February 2017 20:06:32<br>
<b>To:</b> Ana Serrano Mamolar<br>
<b>Cc:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> Re: [Snort-users] Snort and GTP encapsulation info</font>
<div> </div>
</div>
<div>It may not be a field that is inserted into the db.  It may be in the unified2 output file that you can access with u2spewfoo in the contrib/ directory.
<div class=""><br class="">
<div class="">
<div class="" style="color:rgb(0,0,0); letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; word-wrap:break-word">
<div class="" style="color:rgb(0,0,0); letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; word-wrap:break-word">
<div class="" style="color:rgb(0,0,0); letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; word-wrap:break-word">
<div class=""><b class="" style="font-family:Calibri,sans-serif; font-size:10px"><font color="#5e5e5e" class="">--</font></b></div>
<div class="" style="font-size:14px"><b class="" style="font-family:Calibri,sans-serif; font-size:12px"><font color="#5e5e5e" class="">Joel Esler </font></b><span class="" style="font-family:Calibri,sans-serif; font-size:12px">| </span><b class="" style="font-family:Calibri,sans-serif; font-size:12px"><font color="#0096ff" class="">Talos:</font></b><span class="" style="font-family:Calibri,sans-serif; font-size:12px"> M</span><font color="#424242" class="" style="font-family:Calibri,sans-serif; font-size:12px">anager
 | <a href="mailto:jesler@...589..." class="">jesler@...589...</a></font></div>
<div class=""><font color="#424242" class="" style="font-family:Calibri,sans-serif; font-size:10px"><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div style="">
<blockquote type="cite" class="">
<div class="">On Feb 8, 2017, at 2:54 PM, Ana Serrano Mamolar <<a href="mailto:B00315494@...17757..." class="">B00315494@...17757...</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div id="divtagdefaultwrapper" dir="ltr" class="" style="font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; font-size:12pt; font-family:Calibri,Arial,Helvetica,sans-serif">
<div class="" style="margin-top:0px; margin-bottom:0px">Hi all,</div>
<div class="" style="margin-top:0px; margin-bottom:0px">Again with an encapsulation question.</div>
<div class="" style="margin-top:0px; margin-bottom:0px; text-align:justify">I am trying to understand how Snort manage GTP encapsulation, that I know that is supported. I already enable gtp in my config file by " config enable_gtp". </div>
<div class="" style="margin-top:0px; margin-bottom:0px; text-align:justify">I run Snort with different pcaps that I have that include GTP and trying to see which info I obtained from Snort with a very silly rule to be sure that is triggerred.</div>
<div class="" style="margin-top:0px; margin-bottom:0px; text-align:justify">My question is the following: Does somebody know where in the database is stored the TEID ( tunnel identifier ) of the packet that triggered the alert? . I have seen in Snort source code
 that it's parsed. But then I can not find it in the database.</div>
<div class="" style="margin-top:0px; margin-bottom:0px; text-align:justify">Thanks</div>
</div>
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">------------------------------------------------------------------------------</span><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">Check
 out the vibrant tech community on one of the world's most</span><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">engaging
 tech sites,<span class="Apple-converted-space"> </span></span><a href="http://slashdot.org/" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">SlashDot.org</a><span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">!<span class="Apple-converted-space"> </span></span><a href="http://sdm.link/slashdot_______________________________________________" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">http://sdm.link/slashdot_______________________________________________</a><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">Snort-users
 mailing list</span><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<a href="mailto:Snort-users@lists.sourceforge.net" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">Snort-users@lists.sourceforge.net</a><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">Go
 to this URL to change user options or unsubscribe:</span><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">Snort-users
 list archive:</span><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<br class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">
<span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important">Please
 visit<span class="Apple-converted-space"> </span></span><a href="http://blog.snort.org/" class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px">http://blog.snort.org</a><span class="" style="font-family:Helvetica; font-size:12px; font-style:normal; font-weight:normal; letter-spacing:normal; orphans:auto; text-align:start; text-indent:0px; text-transform:none; white-space:normal; widows:auto; word-spacing:0px; float:none; display:inline!important"><span class="Apple-converted-space"> </span>to
 stay current on all the latest Snort news!</span></div>
</blockquote>
</div>
<br class="">
</div>
</div>
</div>
</div>
</div>
</span></span></div>
</div>
</div>
</span></span></div>
</div>
</div>
</span></span></div>
</div>
</div>
</div>
</span></span></div>
</div>
</span></span></div>
</div>
</div>
</div>
</span></span></div>
</div>
</div>
</span></span></div>
</div>
</div>
</div>
</div>
</div>
</span></span>
</body>
</html>