
<br><br><div class="gmail_quote">On Fri, Feb 10, 2012 at 6:43 AM, Nikolay Denev <span dir="ltr"><<a href="mailto:ndenev@gmail.com" target="_blank">ndenev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div><br>

On Feb 9, 2012, at 10:04 PM, Nikolay Denev wrote:<br>

<br>

> On Feb 9, 2012, at 10:03 PM, Nikolay Denev wrote:<br>

><br>

>> Hi all,<br>

>><br>

>> It's probably stupid question and I'm missing something but I don't seem to be able<br>

>> to generate alert immediately when for example a given string is found inside a TCP stream.<br>

>> When the TCP connection closes, suricata immediately prints the alert in fast.log.<br>

>> How can I make the alert be generated immediately when the rule condition is matched?<br>

>><br>

>> Also I don't know if its because of this I don't seem to be able to trigger the rule to match several times on the same stream,<br>

>> while I have the string that should fire the alert several times in the stream.<br>

>><br>

>> Here's an example :<br>

>><br>

>> alert tcp $HOME_NET 6666 -> any any \<br>

>>       (msg:"got one"; content:"something"; flowint:something,notset; flowint:something,=,1; sid:10;)<br>

>><br>

>> alert tcp $HOME_NET 6666 -> any any \<br>

>>       (msg:"got five or more"; content:"something"; flowint:something,isset; flowint:something,+,1; flowint:something,>,5; sid:11;)<br>

>><br>

>> This never works, I just have the first rule fire once when the TCP session is terminated.<br>

>><br>

>><br>

>> P.S.: As a side note the wiki should be updated to include probably "sid"s for the rules, as currently when I try to run the examples<br>

>> suricata complains about duplicated rules.<br>

>><br>

>> Thanks,<br>

>><br>

><br>

> I'm running 1.2.1 RELEASE on FreeBSD-9.0-STABLE.<br>

<br>

</div>This seems to work :<br>

<div><br>

alert tcp $HOME_NET 6666 -> any any \<br>

</div>        (msg:"got one"; content:"something"; flowint:something,notset; flowint:something,=,1; noalert; sid:10; priority: 1;)<br>

<div><br>

alert tcp $HOME_NET 6666 -> any any \<br>

</div>        (msg:"got more"; content:"something"; flowint:something,isset; flowint:something,+,1; noalert; sid:11; priority: 2;) 

<br></blockquote><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<div><br>

alert tcp $HOME_NET 6666 -> any any \<br>

</div>        (msg:"got too many"; content:"something"; flowint:something,isset; flowint:something,>,2; sid:12; priority: 3;)<br>

<div><div><br>

<br>

_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org" target="_blank">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

</div></div></blockquote></div><br><br>Hi Nikolay,<br>I think this is the way it is supposed to work. (last example, by you).<br><br>When you take out "noalert" form sid 11 - does it fire ?<br><br>And are these the only rules that are loaded in terms of flowint or you have others before that?<br>

<br>thanks<br><br><br clear="all"><br>-- <br>Peter Manev<br>