Hi,<br><br>What happens if after the first visit you stop suricata, right after the first visit - would it show an alert?<br>What happens if you run the pcap from wireshark through suricata? would the number of alerts match?<br>
<br>thanks<br><br><div class="gmail_quote">On Thu, Jan 10, 2013 at 8:57 PM, Vincent Fang <span dir="ltr"><<a href="mailto:vincent.y.fang@gmail.com" target="_blank">vincent.y.fang@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">I'm just trying to test out a simple rule where a visit to the website <a href="http://www.businessweek.com" target="_blank">www.businessweek.com</a> triggers an alert<div><br></div><div>Using nslookup on my side shows the ip address to be</div>

<div><br></div><div><a href="tel:207.86.164.88" value="+12078616488" target="_blank">207.86.164.88</a></div><div><a href="tel:207.86.164.98" value="+12078616498" target="_blank">207.86.164.98</a></div><div><br></div><div>
so based on that info I created a new rule file called http-test.rules</div><div>which contains one line</div>
<div><br></div><div>alert http any any -> <a href="http://207.86.164.0/24" target="_blank">207.86.164.0/24</a> any (msg: "visiting businessweek")</div><div><br></div><div>I then modify the suricata.yaml file and comment out all the other rules except my one rule just so I don't get spammed with all sorts of alerts. I start up the engine like so</div>

<div><br></div><div>suricata -c /pathtoyaml/suricata.yaml -i eth0</div><div><br></div><div>and I check the logs directory to see that they're all at the initial state with fast.log at 0 bytes and http.log at 0 bytes</div>

<div><br></div><div>I also have wireshark running capturing packets on eth0 with the display filter set at</div><div>http && ip.dst == <a href="http://207.86.164.0/24" target="_blank">207.86.164.0/24</a></div><div>

<br></div><div>With suricata and wireshark running, I start up google-chrome and visit the webpage <a href="http://www.businessweek.com" target="_blank">www.businessweek.com</a></div><div><br></div><div>Wireshark shows packets coming through that match but suricata shows no alerts being triggered on the first visit. However, if I click on a link within the businessweek webpage, things start popping up in the fast.log with my custom alert rule with more packets being displayed in wireshark as well.</div>

<div><br></div><div>I've restarted this test multiple times and tried out a different website as well, and the result is the same that the first visit to the website does not trigger an alert, but subsequent visits to it do, so I'm not sure if I'm doing something wrong or not understanding how the http traffic works.</div>

<div><br></div><div>I'm running Suricata 1.4 on Fedora 17.</div><div><br></div><div>Vince</div><div><br></div><div><br></div></div>
<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br></blockquote></div><br><br clear="all"><br>-- <br><div>Regards,</div>
<div>Peter Manev</div>