<div dir="ltr">I'm just trying to test out a simple rule where a visit to the website <a href="http://www.businessweek.com">www.businessweek.com</a> triggers an alert<div><br></div><div style>Using nslookup on my side shows the ip address to be</div>
<div style><br></div><div style>207.86.164.88</div><div style>207.86.164.98</div><div style><br></div><div style>so based on that info I created a new rule file called http-test.rules</div><div style>which contains one line</div>
<div style><br></div><div style>alert http any any -> <a href="http://207.86.164.0/24">207.86.164.0/24</a> any (msg: "visiting businessweek")</div><div style><br></div><div style>I then modify the suricata.yaml file and comment out all the other rules except my one rule just so I don't get spammed with all sorts of alerts. I start up the engine like so</div>
<div style><br></div><div style>suricata -c /pathtoyaml/suricata.yaml -i eth0</div><div style><br></div><div style>and I check the logs directory to see that they're all at the initial state with fast.log at 0 bytes and http.log at 0 bytes</div>
<div style><br></div><div style>I also have wireshark running capturing packets on eth0 with the display filter set at</div><div style>http && ip.dst == <a href="http://207.86.164.0/24">207.86.164.0/24</a></div><div style>
<br></div><div style>With suricata and wireshark running, I start up google-chrome and visit the webpage <a href="http://www.businessweek.com">www.businessweek.com</a></div><div style><br></div><div style>Wireshark shows packets coming through that match but suricata shows no alerts being triggered on the first visit. However, if I click on a link within the businessweek webpage, things start popping up in the fast.log with my custom alert rule with more packets being displayed in wireshark as well.</div>
<div style><br></div><div style>I've restarted this test multiple times and tried out a different website as well, and the result is the same that the first visit to the website does not trigger an alert, but subsequent visits to it do, so I'm not sure if I'm doing something wrong or not understanding how the http traffic works.</div>
<div style><br></div><div style>I'm running Suricata 1.4 on Fedora 17.</div><div style><br></div><div style>Vince</div><div style><br></div><div style><br></div></div>