<font size=2 face="sans-serif">+1 for this :)</font>
<br>
<br><a href=https://redmine.openinfosecfoundation.org/issues/384><font size=2 face="sans-serif">https://redmine.openinfosecfoundation.org/issues/384</font></a>
<br><a href=https://redmine.openinfosecfoundation.org/issues/385><font size=2 face="sans-serif">https://redmine.openinfosecfoundation.org/issues/385</font></a>
<br>
<br><font size=2 face="sans-serif">-David</font>
<br>
<br>
<br>
<br><font size=1 color=#5f5f5f face="sans-serif">From:      
 </font><font size=1 face="sans-serif">Victor Julien <victor@inliniac.net></font>
<br><font size=1 color=#5f5f5f face="sans-serif">To:      
 </font><font size=1 face="sans-serif">oisf-devel@openinfosecfoundation.org</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Date:      
 </font><font size=1 face="sans-serif">06/20/2012 10:47 AM</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Subject:    
   </font><font size=1 face="sans-serif">Re: [Oisf-devel]
filestore + pcap?</font>
<br><font size=1 color=#5f5f5f face="sans-serif">Sent by:    
   </font><font size=1 face="sans-serif">oisf-devel-bounces@openinfosecfoundation.org</font>
<br>
<hr noshade>
<br>
<br>
<br><tt><font size=2>On 06/20/2012 01:27 PM, Chris Wakelin wrote:<br>
> I'm trying to track down the mechanism in "/1.class" which
I've seen in<br>
> some Blackhole exploit kit landing pages recently and I think is<br>
> probably an exploit for Java 1.6.0_31.<br>
> <br>
> I've got a Suricata rule with "filestore" to watch for the
IP addresses<br>
> I've seen the exploit on.<br>
> <br>
> Alas, it seems to be using cookies and possibly other tricks (e.g.
a<br>
> recent "Scalaxy" Java exploit I saw needed HTTP no-keepalive
set in<br>
> order to download the payload), which aren't captured in the HTTP
log or<br>
> .meta files.<br>
> <br>
> I can't run tcpdump alongside as it's using PF_RING + DNA which can
only<br>
> allow one application to see the packets (todo: play with PF_RING's<br>
> libzero to serve the same packets to two applications).<br>
> <br>
> Suricata's existing pcap logging logs everything, I think, which I
doubt<br>
> we could do at the rate we're receiving packets.<br>
> <br>
> Is it possible to get Suricata's filestore mechanism to save a pcap
as<br>
> well (i.e. pcap saved only when matching particular rules)?<br>
<br>
Not possible right now, no.<br>
<br>
We get this request every now and then, so I guess it's worth thinking<br>
about.<br>
<br>
Some random thoughts:<br>
<br>
- a pcap would not have the TCP 3whs unless we do buffer packets for<br>
really long periods -- guess we could also fake them<br>
<br>
- tag keyword may be helpful already? Pkts then go into u2 so barnyard2<br>
would have to dump it to pcap<br>
<br>
-- <br>
---------------------------------------------<br>
Victor Julien<br>
</font></tt><a href=http://www.inliniac.net/><tt><font size=2>http://www.inliniac.net/</font></tt></a><tt><font size=2><br>
PGP: </font></tt><a href=http://www.inliniac.net/victorjulien.asc><tt><font size=2>http://www.inliniac.net/victorjulien.asc</font></tt></a><tt><font size=2><br>
---------------------------------------------<br>
<br>
_______________________________________________<br>
Oisf-devel mailing list<br>
Oisf-devel@openinfosecfoundation.org<br>
</font></tt><a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel"><tt><font size=2>http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</font></tt></a><tt><font size=2><br>
</font></tt>
<br>