<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<style style="display: none;" id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
</head>
<body id="" tabindex="0" aria-label="Message body" fpstyle="1" dir="ltr">
<div name="divtagdefaultwrapper" id="divtagdefaultwrapper" style="font-family: Calibri,Arial,Helvetica,sans-serif; font-size: 12pt; color: #000000; margin: 0">
Hello,<br>
<br>
My class team recently setup the Suricata IDS on a test network. Using metasploit, a reverse shell was obtained through a PDF vulnerability. Suricata saw the PDF transfer, but failed to see the shell open.<br>
<br>
We felt that this was not a special attack, and should have been easily detected. Are we wrong to think this? Is there a configuration setting we missed?<br>
<br>
Our network is designed so that the IDS is also the gateway into our "internal network". All network traffic with the "outside world" goes through this machine.<br>
<br>
Thanks,<br>
James<br>
</div>
</body>
</html>