<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Hello Cooper,<div><br></div><div><div apple-content-edited="true">thanks for your response. </div><div apple-content-edited="true">it is not the case that i simply want to drop specific traffic, but this was the easiest way to show what my problem is ;).</div><div apple-content-edited="true"><br></div><div apple-content-edited="true">Is there any way to define how long the drop is valid as i asked in my last email?</div><div apple-content-edited="true"><br></div><div apple-content-edited="true">Regards</div><div apple-content-edited="true">Michael</div>
<br><div><div>Am 22.08.2014 um 18:24 schrieb Cooper F. Nelson <<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a>>:</div><br class="Apple-interchange-newline"><blockquote type="cite"><fieldset style="padding-top:10px; border:0px; border: 3px solid #CCC; padding-left: 20px;"><legend style="font-weight:bold">Signierter PGP Teil</legend><div style="padding-left:3px;">I think you want to add the "flow" keyword as follows to drop rules:<br><br>> # IPS, enforce<br>> drop tcp any any -> any 80 (msg:"SURICATA DROP Port 80 but not HTTP";<br>> flow:to_server; app-layer-protocol:!http; sid:993001;)<br>> drop tcp any any -> any 443 (msg:"SURICATA DROP Port 443 but not<br>> SSL/TLS"; flow:to_server; app-layer-protocol:!tls; sid:993002;)<br>> drop tcp any any -> any 993 (msg:"SURICATA DROP Port 993 but not<br>> SSL/TLS"; flow:to_server; app-layer-protocol:!tls; sid:993003;)<br><br>If you really want to drop port 80 client traffic with suricata, this is<br>probably what you want:<br><br>> drop tcp any any -> any 80 (msg: "drop port 80"; flow:from_client; classtype:drop-rule;sid:14051;rev:1; threshold: type both, track by_src, count 10, seconds 10;)<br><br>See: ><br><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords</a><br><br>..for more details.<span class="Apple-converted-space"> </span> But as I mentioned recently, it may be the case<br>that suricata waits for at least the three-way handshake to make the<br>decision to drop a flow.<br><br>At the risk of being pedantic, if you really just want to block port 80<br>at layer 4, use a firewall.<span class="Apple-converted-space"> </span> The whole idea of an IPS is be able to<br>detect and drop application layer traffic.<br><br>-Coop<br><br>On 8/22/2014 8:08 AM, First Root | Michael wrote:<br>> Hello,<br>><br>> we are playing around with some basic drop rules for suricata inline and are running this very basic rule:<br>> drop tcp any any -> any 80 (msg: "drop port 80"; classtype:drop-rule;sid:14051;rev:1; threshold: type both, track by_src, count 10, seconds 10;)<br>><br>> From the logs we can see that it drops the connection but based on the source ip address and source port which is, i think, not what we want as the source port is given by the os and should be random.<br>> So is there a way to configure suricata to keep track of this based on the source ip and not source ip and source port?<br>> Also, is it possible that suricata creates a drop rule for the whole source ip address and not the source ip and source port?<br>><br>> Regards<br>> Michael<br>><br>> _______________________________________________<br>> Suricata IDS Users mailing list: oisf-users@openinfosecfoundation.org<br>> Site: http://suricata-ids.org | Support: http://suricata-ids.org/support/<br>> List: https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users<br>> OISF: http://www.openinfosecfoundation.org/<br>><br><br><br>--<br>Cooper Nelson<br>Network Security Analyst<br>UCSD ACT Security Team<br>cnelson@ucsd.edu x41042</div></fieldset><br></blockquote></div><br></div></body></html>