<br><br><div class="gmail_quote">On Fri Nov 07 2014 at 12:44:47 PM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 11/07/2014 12:31 PM, Michał Purzyński wrote:<br>
> And you are right. There's a subtle difference. You used any or ip/32<br>
> and I used subnet. I've just changed the rule to say<br>
><br>
> alertip any any -> any any (msg:"test"; iprep:src,CnC,>,70; sid:1; rev:1;)<br>
><br>
> 1 signatures processed. 1 are IP-only rules, 0 are inspecting packet<br>
> payload, 0 inspect application layer, 0 are decoder event only<br>
><br>
> Thanks! Maybe it should lang in the documentation, that IP only rules<br>
> have to be "any" or single IP.<br>
<br>
Do you have negation in the variables? E.g. something like HOME_NET:<br>
"[<a href="http://10.0.0.0/8,!10.0.10.0/16" target="_blank">10.0.0.0/8,!10.0.10.0/16</a>]"<br>
<br></blockquote><div><br></div><div>







<p class="p1"><span class="s1">   </span><span class="s2"> </span><span class="s3">HOME_NET</span><span class="s4">:</span><span class="s2"> </span><span class="s5">"[<a href="http://192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,63.245.208.0/20,224.0.0.0/4,!$PROXY_SERVERS">192.168.0.0/16,10.0.0.0/8,172.16.0.0/12,63.245.208.0/20,224.0.0.0/4,!$PROXY_SERVERS</a>]"</span></p><p class="p1"><span class="s5">







</span></p><p class="p1"><span class="s1">   </span><span class="s2"> </span><span class="s3">REALLY_EXTERNAL_NET</span><span class="s4">:</span><span class="s2"> </span><span class="s5">"!$HOME_NET"</span></p><p class="p1"><span class="s5"><br></span></p><p class="p1"><span class="s5">So yeah I do. I've changed the rule to any any -> any any and that should do, the iprep keyword takes are about the direction anyway.</span></p></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
IIRC negation in the address fields cause a sig to be rejected for<br>
'IP-only'.<br>
<br></blockquote><div><br></div><div>Good to know. Thanks! :-)</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Cheers,<br>
Victor<br>
<br>
<br>
><br>
><br>
> On Fri Nov 07 2014 at 10:42:33 AM Victor Julien <<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a><br>
> <mailto:<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>>> wrote:<br>
><br>
>     On 11/06/2014 10:22 PM, Michał Purzyński wrote:<br>
>     > Configured IP reputation today, gave Suricata around 1000 IP to watch.<br>
>     > The manual says I've got to create an "ip-only" rule for maximum<br>
>     > performance, so there you go - my proud rule.<br>
>     ><br>
>     > alert ip $HOME_NET any -> $REALLY_EXTERNAL_NET any (msg:"IPREP<br>
>     internal<br>
>     > host talking to CnC server"; iprep:dst,CnC,>,60; sid:1; rev:1;)<br>
>     ><br>
>     > $REALLY_EXTERNAL_NET is well... what it says - Internet. Outside<br>
>     world.<br>
>     ><br>
>     > To my surprise Suricata started and told me there are 0 ip-only rules.<br>
>     ><br>
>     > Terrible performance and huge packet loss confirmed it - something is<br>
>     > clearly wrong. Without this rule I have next to none packet loss, with<br>
>     > it around 40% or more.<br>
>     ><br>
>     > How should the IP-only rule for reputation list look like?<br>
>     ><br>
><br>
>     I've done a few tests, but I can reproduce your issue:<br>
><br>
>     alert tcp any any -> any any (msg:"test"; iprep:src,BadHosts,>,9; sid:1;<br>
>     rev:1;)<br>
>     alert tcp any any -> any any (msg:"test"; iprep:src,BadHosts,<,11;<br>
>     sid:2; rev:1;)<br>
>     alert ip [1.2.3.4] any -> [5.6.7.8] any (msg:"test";<br>
>     iprep:src,BadHosts,<,11; sid:3; rev:1;)<br>
><br>
>     [30293] 7/11/2014 -- 10:39:52 - (detect.c:2613) <Info><br>
>     (SigAddressPrepareStage1) -- 3 signatures processed. 3 are IP-only<br>
>     rules, 0 are inspecting packet payload, 0 inspect application layer, 0<br>
>     are decoder event only<br>
><br>
>     --<br>
>     ------------------------------<u></u>__---------------<br>
>     Victor Julien<br>
>     <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
>     PGP: <a href="http://www.inliniac.net/__victorjulien.asc" target="_blank">http://www.inliniac.net/__<u></u>victorjulien.asc</a><br>
>     <<a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/<u></u>victorjulien.asc</a>><br>
>     ------------------------------<u></u>__---------------<br>
><br>
>     ______________________________<u></u>___________________<br>
>     Suricata IDS Users mailing list:<br>
>     oisf-users@__<a href="http://openinfosecfoundation.org" target="_blank">openinfosecfounda<u></u>tion.org</a><br>
>     <mailto:<a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@<u></u>openinfosecfoundation.org</a>><br>
>     Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support:<br>
>     <a href="http://suricata-ids.org/__support/" target="_blank">http://suricata-ids.org/__<u></u>support/</a> <<a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/<u></u>support/</a>><br>
>     List:<br>
>     <a href="https://lists." target="_blank">https://lists.</a>__<a href="http://openinfosecfoundation.org/__mailman/listinfo/oisf-users" target="_blank">openinfosecfou<u></u>ndation.org/__mailman/<u></u>listinfo/oisf-users</a><br>
>     <<a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.<u></u>openinfosecfoundation.org/<u></u>mailman/listinfo/oisf-users</a>><br>
>     Training now available: <a href="http://suricata-ids.org/__training/" target="_blank">http://suricata-ids.org/__<u></u>training/</a><br>
>     <<a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/<u></u>training/</a>><br>
><br>
<br>
<br>
--<br>
------------------------------<u></u>---------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/<u></u>victorjulien.asc</a><br>
------------------------------<u></u>---------------<br>
<br>
</blockquote></div>