
<br><br><div class="gmail_quote">On Sun, Apr 17, 2011 at 12:34 PM, rmkml <span dir="ltr"><<a href="mailto:rmkml@free.fr">rmkml@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Hi Anoop,<br>

Thx your for help and debug.<br>

For first sig, warn if you copy&paste text to your sigs file, because, maybe include not space but no ascii char...<br>

suricata alert:<br>

 [32349] 17/4/2011 -- 08:57:40 - (detect.c:499) <Error> (DetectLoadSigFile) -- [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - Error parsing signature "alert tcp any any -> any 21 (msg:"FTP...<br>

Regards<br><font color="#888888">

Rmkml</font><div class="im"><br>

<br></div></blockquote><div><br>I ran it with the sig loading.<br> </div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;"><div class="im">

<br>

On Sun, 17 Apr 2011, Anoop Saldanha wrote:<br>

<br>

>From what I see, yeah a FN.  The first sigs not firing as well for me.  This is more down to the - alproto detection + stream mpm + no stateful mpm thing.  A stateful mpm should fix this issue.  A bug in redmine should be better to keep us reminded on implementing it, although we have it in our feature list.<br>


--<br>

Regards,<br>

Anoop Saldanha<br>

<br>

<br>

</div><div><div></div><div class="h5"><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

On Sun, Apr 17, 2011 at 5:08 AM, rmkml <<a href="mailto:rmkml@free.fr" target="_blank">rmkml@free.fr</a>> wrote:<br>

      Hi,<br>

      First, Great Congratulations for new Suricata 1.0.3/1.1beta2 release!<br>

<br>

      Second, I have a small pb with joigned pcap file.<br>

<br>

      ok first sig working:<br>

       alert tcp any any -> any 21 (msg:"FTP format string in ftp cmd attempt"; flow:to_server,established;<br>

       content:"%"; depth:4; offset:0; classtype:misc-activity; sid:945011; rev:1;)<br>

<br>

      ok second sig NOT working (but work with snort):<br>

       alert tcp any any -> any 21 (msg:"FTP format string in ftp cmd attempt"; flow:to_server,established;<br>

       content:"%"; depth:4; offset:0; content:"%"; within:2; distance:1; classtype:misc-activity; sid:945012; rev:1;)<br>

<br>

      stream:<br>

       checksum_validation: no # or yes have same pb for me<br>

<br>

      Thx you again for your time for checking my test.<br>

      If you confirm, Im open a new ticket on suricata redmine.<br>

<br>

      Regards<br>

      Rmkml</blockquote>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Regards,<br>Anoop Saldanha<br><br>