<div dir="ltr">Albert,<div><br></div><div><br></div><div>No, I had not looked at the README.stream5 file.  There was a lot of useful information in there, so thank you for mentioning that!</div><div><br></div><div>From the README.stream5, "The Stream preprocessor is a target-based TCP reassembly module for Snort.  It replaces both the Stream5 and the earlier Stream4 and flow preprocessors, and it is capable of tracking sessions for both TCP and UDP."<br></div><div><br></div><div>So now, in addition to the two questions I had before, I have the following questions:</div><div><br></div><div>3.) Are flow:established,to_server,no_stream; and stream_reassemble:disable,client; essentially the same?  If not, how are they different? (may tie in with #5).</div><div>4.) I assume that if I use stream_reassemble option, I cannot use flow in the same rule?</div><div>5.) What are the pros/cons of using flow vs stream_reassemble?</div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div><div>Warm Regards,<br>-Damian</div></div><div dir="ltr"><br></div></div></div></div></div></div>
<br><div class="gmail_quote">On Wed, Aug 2, 2017 at 4:33 PM, Al Lewis (allewi) <span dir="ltr"><<a href="mailto:allewi@cisco.com" target="_blank">allewi@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word;color:rgb(0,0,0);font-size:14px;font-family:Courier,sans-serif">
<div>
<div>
<div>Have you looked at the README.stream5 file? </div>
<div><br>
</div>
<div>Its located under the doc folder of the snort download.</div>
<div><br>
</div>
<div><br>
</div>
<div>
<div id="m_1916844558936292555MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<b><span style="font-size:12pt;color:rgb(31,73,125)"><font face="Courier">Albert Lewis<u></u><u></u></font></span></b></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font color="#7f7f7f">ENGINEER.SOFTWARE ENGINEERING</font></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font face="Courier"><span style="color:rgb(153,153,153);font-size:12pt">SOURCE</span><b><span style="font-size:12pt;color:red">fire</span></b><span style="color:rgb(153,153,153);font-size:12pt">, Inc. </span><span style="color:rgb(136,136,136);font-size:12pt">now
 part of </span><b><span style="font-size:12pt"><font color="#00007f">Cisco</font></span></b></font></p>
<p class="MsoNormal" style="font-family:-webkit-standard;margin:0in 0in 0.0001pt;font-size:11pt">
<font face="Courier"><span style="font-size:12pt;color:rgb(153,153,153)">Email: </span><span style="font-size:12pt"><a href="mailto:allewi@cisco.com" style="color:purple" target="_blank">allewi@cisco.com</a><span style="color:rgb(79,129,189)"> </span></span></font></p>
</div>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="m_1916844558936292555OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri;font-size:12pt;text-align:left;color:black;BORDER-BOTTOM:medium none;BORDER-LEFT:medium none;PADDING-BOTTOM:0in;PADDING-LEFT:0in;PADDING-RIGHT:0in;BORDER-TOP:#b5c4df 1pt solid;BORDER-RIGHT:medium none;PADDING-TOP:3pt">
<span style="font-weight:bold">From: </span>Snort-users <<a href="mailto:snort-users-bounces@lists.snort.org" target="_blank">snort-users-bounces@lists.<wbr>snort.org</a>> on behalf of Damian Torres via Snort-users <<a href="mailto:snort-users@lists.snort.org" target="_blank">snort-users@lists.snort.org</a>><br>
<span style="font-weight:bold">Reply-To: </span>Damian Torres <<a href="mailto:datorr2@gmail.com" target="_blank">datorr2@gmail.com</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, August 2, 2017 at 3:49 PM<br>
<span style="font-weight:bold">To: </span>Snort-Users <<a href="mailto:snort-users@lists.snort.org" target="_blank">snort-users@lists.snort.org</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] Understanding flow options (no_stream|only_stream) (no_frag|only_frag)<br>
</div><div><div class="h5">
<div><br>
</div>
<span>
<div>
<div>
<div dir="ltr">Good afternoon, all.
<div><br>
</div>
<div><br>
</div>
<div>I've been trying to find more information about the following flow options:</div>
<div><br>
</div>
<div>no_stream - Do not trigger on rebuilt stream packets (useful for dsize and stream5)</div>
<div>only_stream - Only trigger on rebuilt stream packets</div>
<div>no_frag - Do not trigger on rebuilt frag packets</div>
<div>only_frag - Only trigger on rebuilt frag packets<br>
</div>
<div><br>
</div>
<div>Other than this information that is mentioned in the manual, I can't seem to find anything else about these options.  I saw the following snort-devel thread from 2010 where it sounds like there was supposed to be some more information put into the manual:</div>
<div><br>
</div>
<div><a href="https://lists.snort.org/pipermail/snort-devel/2010-December/008525.html" target="_blank">https://lists.snort.org/<wbr>pipermail/snort-devel/2010-<wbr>December/008525.html</a><br>
</div>
<div><br>
</div>
<div>Another confusing thing is, the no_frag|only_frag options don't exist in the Cisco FireSIGHT rule editor.</div>
<div><br>
</div>
<div><br>
</div>
<div>My questions are:</div>
<div>1.) As far as the no_stream option goes, it sounds like all of the payload detection options have to fire on a single packet.  Is this correct?</div>
<div>2.) What are the no_frag|only_frag options used for?  The only "fragmentation" that I am aware of occurs in IP, and "flow" seems like it only pertains to TCP.<br>
</div>
<div><br>
</div>
<div><br>
</div>
<div>Thank you.</div>
<div><br>
</div>
<div>
<div>
<div>
<div class="m_1916844558936292555gmail_signature">
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div dir="ltr">
<div>
<div>
<div><br>
</div>
<div>Warm Regards,<br>
-Damian</div>
</div>
</div>
<div><br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</span></div></div></span>
</div>

</blockquote></div><br></div></div>