<br><br>
<div class="gmail_quote">On Thu, Apr 19, 2012 at 10:13 AM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">
<div class="im">On 04/19/2012 10:03 AM, Edward Fjellskål wrote:<br>> For what its worth:<br>><br>> # tcpdump -s0 -i eth0 -w test.pcap &<br>> # curl <a href="http://vg.no/abcd.php" target="_blank">http://vg.no/abcd.php</a> --data "galid=abcdzad&dzadzza=dzadzdza"<br>
><br>> Then I run suricata on the pcap:<br>> # suricata --runmode single -c suricata.yaml -r test.pcap<br>><br>> #### Events:<br>> 04/19/2012-09:20:21.738662  [**] [1:90011669:1] FN suricata [**]<br>> [Classification: access to a potentially vulnerable web application]<br>
> [Priority: 2] {TCP} <a href="http://1.2.3.4:4702/" target="_blank">1.2.3.4:4702</a> -> <a href="http://195.88.54.16/" target="_blank">195.88.54.16:80</a><br>> 04/19/2012-09:20:21.738662  [**] [1:90011668:1] FN suricata [**]<br>
> [Classification: access to a potentially vulnerable web application]<br>> [Priority: 2] {TCP} <a href="http://1.2.3.4:4702/" target="_blank">1.2.3.4:4702</a> -> <a href="http://195.88.54.16/" target="_blank">195.88.54.16:80</a><br>
> 04/19/2012-09:20:21.738662  [**] [1:90011667:1] FN suricata [**]<br>> [Classification: access to a potentially vulnerable web application]<br>> [Priority: 2] {TCP} <a href="http://1.2.3.4:4702/" target="_blank">1.2.3.4:4702</a> -> <a href="http://195.88.54.16/" target="_blank">195.88.54.16:80</a><br>
><br>> I run without checksum validation.<br>><br>> Tested on two versions of suricata:<br>> 1: This is Suricata version 1.1beta2 (rev 58d7cb2)<br>>   (1.1.1 (rev 1bfb46f) is throwing a flow error Im not digging into<br>
> right now)<br>> 2: This is Suricata version 1.3dev (rev fbe0206)<br><br></div>Thanks for checking. Maybe it's related to the ECN and CWR flags that<br>are set on the first 2 packets.<br><br></blockquote>
<div>I think it has something to do with the Congestion Notification - because if run with rmkml pcap - i get the rmkml's results.</div>
<div>But as Edward has done - i get spot on results.</div>
<div> </div>
<div> </div>
<div> </div>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">Cheers,<br>Victor<br>
<div class="HOEnZb">
<div class="h5"><br><br>> E<br>><br>><br>> On 04/19/2012 01:58 AM, rmkml wrote:<br>>> Hi,<br>>><br>>> Im restart my Suricata (v1.2.1 and 1.3git) testing and Im found<br>>> strange results with these sigs not fire:<br>
>><br>>> alert tcp any any -> any 80 (msg:"FN suricata";<br>>> flow:to_server,established; isdataat:1;<br>>> classtype:web-application-activity; sid:90011667; rev:1;)<br>>><br>>> alert tcp any any -> any 80 (msg:"FN suricata";<br>
>> flow:to_server,established; pcre:"/^[^\n]{5}/P";<br>>> classtype:web-application-activity; sid:90011668; rev:1;)<br>>><br>>> alert tcp any any -> any 80 (msg:"FN suricata";<br>
>> flow:to_server,established; content:"galid"; nocase; http_client_body;<br>>> classtype:web-application-activity; sid:90011669; rev:1;)<br>>><br>>><br>>> Tested with these two http commands:<br>
>>  wget <a href="http://192.168.1.1/abcd.php" target="_blank">http://192.168.1.1/abcd.php</a><br>>> --post-data="galid=abcdzad&dzadzza=dzadzdza"<br>>>  curl <a href="http://192.168.1.1/abcd.php" target="_blank">http://192.168.1.1/abcd.php</a> --data "galid=abcdzad&dzadzza=dzadzdza"<br>
>><br>>> Joigned my two pcap for replaying.<br>>> No suricata error.<br>>> Disabled cksum validation.<br>>><br>>> Im sure Im totaly wrong but if someone check/confirm please ? if ok Im<br>
>> open a new redmine ticket.<br>>> Of course, snort always fire.<br>>> Regards<br>>> Rmkml<br><br><br></div></div><span class="HOEnZb"><font color="#888888">--<br>---------------------------------------------<br>
Victor Julien<br><a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>---------------------------------------------<br>
</font></span>
<div class="HOEnZb">
<div class="h5"><br>_______________________________________________<br>Oisf-devel mailing list<br><a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br><a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>
<div>Regards,</div>
<div>Peter Manev</div><br>