unsubscribe<img class="n1-open" width="0" height="0" style="border:0; width:0; height:0;" src="https://n1.nylas.com/open/de4a97d488918ae289830cb66f41dfbacf5752fc6c7867dfe2dbd7db01ccef5e">
          <div class="gmail_quote nylas-quote nylas-quote-id-8c368ce18c96863ef5ba67923de330f36348662985d7baa2f491f5f8c4d0d282">
            <br>
            On Aug 10 2017, at 2:51 pm, snort-users-request@lists.snort.org wrote:
            <br>
            <blockquote class="gmail_quote"
              style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
              <pre class="nylas-plaintext">Send Snort-users mailing list submissions to
        snort-users@lists.snort.org

To subscribe or unsubscribe via the World Wide Web, visit
        https://lists.snort.org/mailman/listinfo/snort-users
or, via email, send a message with subject or body 'help' to
        snort-users-request@lists.snort.org

You can reach the person managing the list at
        snort-users-owner@lists.snort.org

When replying, please edit your Subject line so it is more specific
than "Re: Contents of Snort-users digest..."


When responding, please don't respond with the entire Digest.  Please trim your response.


Today's Topics:

   1. Re: (no subject) (Marcin Dulak)
   2. Re: (no subject) (Joel Esler (jesler))
   3. Re: Snort++ Build 239 (Russ)
   4. snort[731]: FATAL ERROR: Cannot decode data link type 113 on
      openvz VPS (Ajdin Lup?evi?)


----------------------------------------------------------------------

Message: 1
Date: Wed, 9 Aug 2017 21:52:38 +0200
From: Marcin Dulak <marcin.dulak@gmail.com>
To: Omar Johnatan Lopez Carrillo <olopez@utc.edu.mx>
Cc: snort-users@lists.snort.org
Subject: Re: [Snort-users] (no subject)
Message-ID:
        <CABJoABY=ajJ2tMJum6x1BcgEBnMR+gpSeiaHf9tKP=FR2oTO3g@mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

This is probably the best introduction to snort rules:  "DevNet 1126
Detection Strategies with Snort" https://www.youtube.com/watch?v=-aeZ6OD8BPg

Marcin

2017-08-09 19:52 GMT+02:00 Omar Johnatan Lopez Carrillo <olopez@utc.edu.mx>:

> Buenas tardes
> Alguien me puede ayudar, ya instale snort pero no se como hacer reglas y
> no he encontrado nada en la red, alguien me puede ayudar con una
> explicaci?n de ?como hacer reglas?
>
> gracias
> saludos
>
> --
> I*ng. Omar J. Lopez Carrillo *
>
> *Soporte T?cnico Universidad Tecnol?gica de Coahu?la *
> *Tel: 288 388 00      ext: 173*
>
> _______________________________________________
> Snort-users mailing list
> Snort-users@lists.snort.org
> Go to this URL to change user options or unsubscribe:
> https://lists.snort.org/mailman/listinfo/snort-users
>
> Please visit http://blog.snort.org to stay current on all the latest
> Snort news!
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20170809/a472e7ad/attachment-0001.html>

------------------------------

Message: 2
Date: Wed, 9 Aug 2017 20:42:57 +0000
From: "Joel Esler (jesler)" <jesler@cisco.com>
To: Marcin Dulak <marcin.dulak@gmail.com>
Cc: Omar Johnatan Lopez Carrillo <olopez@utc.edu.mx>,
        "snort-users@lists.snort.org" <snort-users@lists.snort.org>
Subject: Re: [Snort-users] (no subject)
Message-ID: <6EFDD200-04FC-4ECD-80AF-A7AC8C53F794@cisco.com>
Content-Type: text/plain; charset="utf-8"

This presentation is given by one of our DRT (Detection Response Team) members, Brandon Stultz here at Talos, and is probably one of the best ?how to write Snort rules? presentations there is out there.


--
Joel Esler | Talos: Manager | jesler@cisco.com<mailto:jesler@cisco.com>






On Aug 9, 2017, at 3:52 PM, Marcin Dulak via Snort-users <snort-users@lists.snort.org<mailto:snort-users@lists.snort.org>> wrote:

This is probably the best introduction to snort rules:  "DevNet 1126 Detection Strategies with Snort" https://www.youtube.com/watch?v=-aeZ6OD8BPg

Marcin

2017-08-09 19:52 GMT+02:00 Omar Johnatan Lopez Carrillo <olopez@utc.edu.mx<mailto:olopez@utc.edu.mx>>:
Buenas tardes
Alguien me puede ayudar, ya instale snort pero no se como hacer reglas y no he encontrado nada en la red, alguien me puede ayudar con una explicaci?n de ?como hacer reglas?

gracias
saludos

--
Ing. Omar J. Lopez Carrillo

Soporte T?cnico Universidad Tecnol?gica de Coahu?la
Tel: 288 388 00      ext: 173

_______________________________________________
Snort-users mailing list
Snort-users@lists.snort.org<mailto:Snort-users@lists.snort.org>
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org<http://blog.snort.org/> to stay current on all the latest Snort news!


_______________________________________________
Snort-users mailing list
Snort-users@lists.snort.org<mailto:Snort-users@lists.snort.org>
Go to this URL to change user options or unsubscribe:
https://lists.snort.org/mailman/listinfo/snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20170809/c81fd644/attachment-0001.html>

------------------------------

Message: 3
Date: Wed, 9 Aug 2017 17:36:34 -0400
From: Russ <rucombs@cisco.com>
To: Jim Campbell <jim@w4bqp.net>
Cc: snort-users@lists.snort.org
Subject: Re: [Snort-users] Snort++ Build 239
Message-ID: <a5f87947-7c95-632b-3a56-e36e93874144@cisco.com>
Content-Type: text/plain; charset=utf-8; format=flowed

OK.  We are going to make some changes to Snort++ to better support 
barnyard2 at least temporarily but barnyard2 won't be able to support 
Snort++ completely without changes.

Also, you may want to look into using snort -g -u (specifying group and 
user) so that it doesn't have to run as root.  It will still have to 
start up as root to open your interfaces but after that it can drop 
privileges which is more secure.

On 8/8/17 11:22 AM, Jim Campbell wrote:
> Russ,
>
> I believe that I have Snort++ outputting the unified2x log files. 
> Following is the command line that I am using (I've moved the rules 
> file specification into snort.lua.)
>
> sudo /opt/snort/bin/snort -Q -q -c /opt/snort/etc/snort/snort.lua 
> --daq afpacket -i enp1s0:enp4s0 --plugin-path 
> /opt/snort/lib/snort_extra -A unified2x
>
> This is the u2spewfoo output for one of the unified2x records:
>
> (Event)
>         sensor id: 0    event id: 1     event second: 
> 1502204570        event microsecond: 285494
>         sig id: 15      gen id: 129     revision: 1 classification: 3
>         priority: 2     ip source: 192.168.254.2        ip 
> destination: 54.174.67.216
>         src port: 53313 dest port: 443  ip_proto: 6 impact_flag: 0  
> blocked: 0
>         mpls label: 0   vlan id: 0      policy id: 0    appid:
>
> Packet
>         sensor id: 0    event id: 1     event second: 1502204570
>         packet second: 1502204570       packet microsecond: 285494
>         linktype: 1     packet_length: 60
> [    0] 00 26 91 56 78 0B B0 7F B9 1A 2E FF 08 00 45 00 .&.Vx.........E.
> [   16] 00 28 57 9E 40 00 3F 06 AB 00 C0 A8 FE 02 36 AE .(W.@.?.......6.
> [   32] 43 D8 D0 41 01 BB 9D 2A 41 7A 00 00 00 00 50 04 C..A...*Az....P.
> [   48] 00 00 C6 0D 00 00 00 00 00 00 00 00 ............
>
> I've got some tweaking to do. For example my unified2x file is in 
> /home/jim.
>
> Thanks for your help.
>
> Jim
>
> On 8/7/2017 12:06 PM, Russ wrote:
>>
>>
>> On 8/7/17 11:53 AM, Jim Campbell wrote:
>>> Now that I have a running (though back-level) IPS I'll play with 
>>> getting the unified2x logger working. For clarification, does this 
>>> mean that I can use Snort++ and the unified2x logger will output 
>>> records understandable by Barnyard2?
>> Yes.  You will get the same event types as 2X.  The difference is 
>> that Snort++ data buffers records will not be handled.  I'm looking 
>> into what can be done to just make that work until the tool chains 
>> are updated.  But this will get you back to where you were before the 
>> new events were added.
>>>
>



------------------------------

Message: 4
Date: Thu, 10 Aug 2017 09:51:17 +0200
From: Ajdin Lup?evi? <ajdin@global.ba>
To: snort-users@lists.snort.org
Subject: [Snort-users] snort[731]: FATAL ERROR: Cannot decode data
        link type 113 on openvz VPS
Message-ID: <7787731c-8b30-a6fd-5e9c-6ceb6f18a7c3@global.ba>
Content-Type: text/plain; charset="utf-8"; Format="flowed"

Hello,

I try to test snort on openvz vps because we need to make detection 
system for our dedicated servers when spam is send fro our network.
when I try to start snort with command snort -i venet0:0 -c 
/etc/snort/snort.conf -T I find messages in /var/log/messages as follow:

Aug  9 06:21:50 test snort[730]: 329 out of 1024 flowbits in use.
Aug  9 06:22:10 test snort[730]:
Aug  9 06:22:10 test snort[730]: [ Port Based Pattern Matching Memory ]
Aug  9 06:22:10 test snort[730]: +- [ Aho-Corasick Summary ] 
-------------------------------------
Aug  9 06:22:10 test snort[730]: | Storage Format    : Full-Q
Aug  9 06:22:10 test snort[730]: | Finite Automaton  : DFA
Aug  9 06:22:10 test snort[730]: | Alphabet Size     : 256 Chars
Aug  9 06:22:10 test snort[730]: | Sizeof State      : Variable (1,2,4 
bytes)
Aug  9 06:22:10 test snort[730]: | Instances         : 235
Aug  9 06:22:10 test snort[730]: |     1 byte states : 220
Aug  9 06:22:10 test snort[730]: |     2 byte states : 15
Aug  9 06:22:10 test snort[730]: |     4 byte states : 0
Aug  9 06:22:10 test snort[730]: | Characters        : 193653
Aug  9 06:22:10 test snort[730]: | States            : 149896
Aug  9 06:22:10 test snort[730]: | Transitions       : 23056914
Aug  9 06:22:10 test snort[730]: | State Density     : 60.1%
Aug  9 06:22:10 test snort[730]: | Patterns          : 9789
Aug  9 06:22:10 test snort[730]: | Match States      : 10624
Aug  9 06:22:10 test snort[730]: | Memory (MB)       : 77.61
Aug  9 06:22:10 test snort[730]: |   Patterns        : 1.12
Aug  9 06:22:10 test snort[730]: |   Match Lists     : 2.50
Aug  9 06:22:10 test snort[730]: |   DFA
Aug  9 06:22:10 test snort[730]: |     1 byte states : 1.36
Aug  9 06:22:10 test snort[730]: |     2 byte states : 72.23
Aug  9 06:22:10 test snort[730]: |     4 byte states : 0.00
Aug  9 06:22:10 test snort[730]: 
+----------------------------------------------------------------
Aug  9 06:22:10 test snort[730]: [ Number of patterns truncated to 20 
bytes: 545 ]
Aug  9 06:22:10 test snort[730]: pcap DAQ configured to passive.
Aug  9 06:22:10 test snort[730]: Acquiring network traffic from "venet0:0".
Aug  9 06:22:10 test snort[730]: Initializing daemon mode
Aug  9 06:22:10 test snort[731]: Daemon initialized, signaled parent 
pid: 730
Aug  9 06:22:10 test snort[731]: Reload thread starting...
Aug  9 06:22:10 test snort[731]: Reload thread started, thread 
0x7f6927ecf700 (732)
Aug  9 06:22:10 test snort[731]: FATAL ERROR: Cannot decode data link 
type 113

I also need to tell you that snort is installed via yum and how can I 
make it work on venet0:0 interace that is active interface on openvz 
vps. If you have any guide or you can explain please let me know.

Best regards.

-- 

*Ajdin Lup?evi?**
*System Administrator/Web Hosting Support

*Globalhost d.o.o. **
*Web Hosting Solutions *
*Kralja Tvrtka 15 ? 72290 Novi Travnik ? BiH *

*-----------------------------------------------------------------------------------------
Tel: +387 30 795 066 ? Fax: +387 30 795 067
Web: www.global.ba <http://www.global.ba/> ? E-mail: info@global.ba 
<mailto:info@global.ba>
--------------------------------------------------------------------------------------------
VA?NA OBAVIJEST:
Ova elektroni?ka po?ta mo?e sadr?avati podatke povjerljive prirode i 
namijenjena je isklju?ivo osobama nazna?enima kao primateljima. Pristup 
od strane bilo koje druge osobe smatra se neovla?tenim. Ukoliko niste 
nazna?eni primatelj, svaka distribucija, kopiranje, umno?avanje ili 
otkrivanje sadr?aja tre?im osobama je strogo zabranjeno i smatra se 
protuzakonitim. Ukoliko ste dobili ovu poruku, a niste nazna?eni 
primatelj, molimo Vas da ?to prije obavijestite po?iljatelja poruke i 
uni?tite sve postoje?e kopije. S obzirom na nepostojanje potpune 
sigurnosti e-mail komunikacije, Globalhost d.o.o. ne preuzima 
odgovornost za eventualnu ?tetu nastalu uslijed zara?enosti e-mail 
poruke virusom ili drugim ?tetnim programom, pogre?ne ili zaka?njele 
dostave poruke uslijed tehni?kih problema. *

*DISCLAIMER:
This e-mail may contain confidential information and is intended only 
for those named as recipients. Access by any other person will be 
considered unauthorised. If you are not the intended recipient, any 
distribution, copying, reproduction or disclosure of its contents to 
third parties is strictly prohibited and shall be considered illegal. If 
you have received this e-mail message and are not the intended 
recipient, please inform the sender as soon as possible and destroy all 
existing copies. Since there is no complete security in e-mail 
communication, the Globalhost d.o.o. no liability for any loss incurred 
as a result of an e-mail message being infected with a virus or any 
other harmful software, mistaken or delayed delivery of a message due to 
technical problems. *
*

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20170810/9dd80b6b/attachment.html>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: ajdin.vcf
Type: text/x-vcard
Size: 4 bytes
Desc: not available
URL: <https://lists.snort.org/pipermail/snort-users/attachments/20170810/9dd80b6b/attachment.vcf>

------------------------------

Subject: Digest Footer

_______________________________________________
Snort-users mailing list
Snort-users@lists.snort.org
https://lists.snort.org/mailman/listinfo/snort-users


------------------------------

End of Snort-users Digest, Vol 3, Issue 15
******************************************
</pre>
            </blockquote>
          </div>