<div dir="ltr">So there's a setting in suricata.yaml called<div><br></div><div style>checksum-validation:no</div><div style><br></div><div style>Is that independent of this keyword used in the rules or are they linked such that yes means these keywords would be active and no would mean not active?</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jan 30, 2013 at 5:30 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/29/2013 05:56 PM, Vincent Fang wrote:<br>
> I couldn't find these keywords in the online documentation. Do these go<br>
> in the suricata.yaml and what's the format to enable these modes?<br>
<br>
</div>Those are rule keywords. In the "decoder-events.rules" file we ship with<br>
the source you'll find examples:<br>
<br>
# checksum rules<br>
alert ip any any -> any any (msg:"SURICATA IPv4 invalid checksum";<br>
ipv4-csum:invalid; sid:2200073; rev:1;)<br>
alert tcp any any -> any any (msg:"SURICATA TCPv4 invalid checksum";<br>
tcpv4-csum:invalid; sid:2200074; rev:1;)<br>
alert udp any any -> any any (msg:"SURICATA UDPv4 invalid checksum";<br>
udpv4-csum:invalid; sid:2200075; rev:1;)<br>
alert icmp any any -> any any (msg:"SURICATA ICMPv4 invalid checksum";<br>
icmpv4-csum:invalid; sid:2200076; rev:1;)<br>
alert tcp any any -> any any (msg:"SURICATA TCPv6 invalid checksum";<br>
tcpv6-csum:invalid; sid:2200077; rev:1;)<br>
alert udp any any -> any any (msg:"SURICATA UDPv6 invalid checksum";<br>
udpv6-csum:invalid; sid:2200078; rev:1;)<br>
alert icmp any any -> any any (msg:"SURICATA ICMPv6 invalid checksum";<br>
icmpv6-csum:invalid; sid:2200079; rev:1;)<br>
<div class="im"><br>
<br>
><br>
> On Tue, Jan 29, 2013 at 5:22 AM, Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a><br>
</div><div class="im">> <mailto:<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>>> wrote:<br>
><br>
>     On 01/28/2013 08:52 PM, Vincent Fang wrote:<br>
>     > I was reading through the online documentation and it only indicates<br>
>     > that it verifies the checksums for TCP packets. What about UDP or IP<br>
>     > checksums?<br>
><br>
>     The TCP engine checks TCP checksums for by default to prevent various<br>
>     TCP reassembly evasion issues. Other checksums can be checked by using<br>
>     the ipv4-csum, tcpv4-csum, tcpv6-csum, udpv4-csum, udpv6-csum,<br>
>     icmpv4-csum and icmpv6-csum keywords.<br>
><br>
>     --<br>
>     ---------------------------------------------<br>
>     Victor Julien<br>
>     <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
>     PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
>     ---------------------------------------------<br>
><br>
>     _______________________________________________<br>
>     Suricata IDS Users mailing list:<br>
>     <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
</div>>     <mailto:<a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a>><br>
<div class="im HOEnZb">>     Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:<br>
>     <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
>     List:<br>
>     <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
>     OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
><br>
><br>
<br>
<br>
</div><div class="HOEnZb"><div class="h5">--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br></div>