<div dir="ltr"><div><div><div>Hi,<br><br>I think what is triggering the rule is NSPlayer streaming content from "<a href="http://wm-ondemand.abacast.com/100hitz/medium/chr4285_32.wma">wm-ondemand.abacast.com/100hitz/medium/chr4285_32.wma</a>".<br>
</div><br></div>I will recheck it tomorow to see if I can replicate.<br><br></div>Regards,<br>Duarte Silva<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 7, 2013 at 6:05 PM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Thu, Feb 7, 2013 at 11:23 PM, Duarte Silva<br>
<<a href="mailto:duarte.silva@serializing.me">duarte.silva@serializing.me</a>> wrote:<br>
> Hello all,<br>
><br>
> first of all, follows a disclainer: I'm a newbie at writing Suricata/Snort<br>
> rules, so don't expect a smart question :P Next, the problem: I have the<br>
> need to detect if someone is using a rogue proxy in my network. I decided to<br>
> create an alert for any HTTP request that has a "Via" header different from<br>
> the expected one (Via: 1.1 PRX1 or 1.1 PRX2). Follows the rule I have<br>
> written:<br>
><br>
> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"MYRZ POLICY Rogue proxy<br>
> detected";flow:established,to_server; content:"Via|3A|"; http_header;<br>
> nocase;  pcre:!"/^Via\x3a 1\.1<br>
> PRX[1-2]\r$/Hmi";classtype:policy-violation;sid:2090001;rev:1;)<br>
><br>
> This isn't full proof, but it does work. The problem is that Suricata is<br>
> also marking request like the following with this rule.<br>
><br>
> upprofile<br>
> Pragma: playlist-seek-id=762678<br>
> Pragma: xClientGUID={3300AD50-2C39-46c0-AE0A-5EB360F56D0B}<br>
> Pragma: stream-switch-count=1<br>
> Pragma: stream-switch-entry=ffff:1:0<br>
> Accept-Language: en-ie, *;q=0.1<br>
> Connection: Keep-Alive<br>
><br>
> Any ideas??<br>
><br>
<br>
</div></div>If the header is what you posted, we shouldn't alert.  Can you supply<br>
a pcap against this?  You can share it privately if you want to.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Anoop Saldanha<br>
</font></span></blockquote></div><br></div>