<p dir="ltr">Hi Anoop,</p>
<p dir="ltr">is it possible that snorby doesn't show the complete payload when used with suricata?</p>
<p dir="ltr">Best regards,<br>
Duarte Silva</p>
<div class="gmail_quote">On 7 Feb 2013 19:15, "Duarte Silva" <<a href="mailto:duarte.silva@serializing.me">duarte.silva@serializing.me</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div><div><div>Hi,<br><br>I think what is triggering the rule is NSPlayer streaming content from "<a href="http://wm-ondemand.abacast.com/100hitz/medium/chr4285_32.wma" target="_blank">wm-ondemand.abacast.com/100hitz/medium/chr4285_32.wma</a>".<br>

</div><br></div>I will recheck it tomorow to see if I can replicate.<br><br></div>Regards,<br>Duarte Silva<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Feb 7, 2013 at 6:05 PM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>On Thu, Feb 7, 2013 at 11:23 PM, Duarte Silva<br>
<<a href="mailto:duarte.silva@serializing.me" target="_blank">duarte.silva@serializing.me</a>> wrote:<br>
> Hello all,<br>
><br>
> first of all, follows a disclainer: I'm a newbie at writing Suricata/Snort<br>
> rules, so don't expect a smart question :P Next, the problem: I have the<br>
> need to detect if someone is using a rogue proxy in my network. I decided to<br>
> create an alert for any HTTP request that has a "Via" header different from<br>
> the expected one (Via: 1.1 PRX1 or 1.1 PRX2). Follows the rule I have<br>
> written:<br>
><br>
> alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"MYRZ POLICY Rogue proxy<br>
> detected";flow:established,to_server; content:"Via|3A|"; http_header;<br>
> nocase;  pcre:!"/^Via\x3a 1\.1<br>
> PRX[1-2]\r$/Hmi";classtype:policy-violation;sid:2090001;rev:1;)<br>
><br>
> This isn't full proof, but it does work. The problem is that Suricata is<br>
> also marking request like the following with this rule.<br>
><br>
> upprofile<br>
> Pragma: playlist-seek-id=762678<br>
> Pragma: xClientGUID={3300AD50-2C39-46c0-AE0A-5EB360F56D0B}<br>
> Pragma: stream-switch-count=1<br>
> Pragma: stream-switch-entry=ffff:1:0<br>
> Accept-Language: en-ie, *;q=0.1<br>
> Connection: Keep-Alive<br>
><br>
> Any ideas??<br>
><br>
<br>
</div></div>If the header is what you posted, we shouldn't alert.  Can you supply<br>
a pcap against this?  You can share it privately if you want to.<br>
<span><font color="#888888"><br>
--<br>
Anoop Saldanha<br>
</font></span></blockquote></div><br></div>
</blockquote></div>