<div dir="ltr">This rule:<div><br></div><div><div>alert ip $EXTERNAL_NET $SHELLCODE_PORTS -> $HOME_NET any (msg:"GPL SHELLCODE x86 inc ebx NOOP"; content:"<wbr>CCCCCCCCCCCCCCCCCCCCCCCC"; classtype:shellcode-detect; sid:2101390; rev:6;)</div></div><div><br></div><div>Is an IP rule.  It will alert per packet.  There's 63 packets that match that content in your pcap and I get 63 alerts here.</div><div><br></div><div>That being said, shellcode rules are notoriously noisy.  I would either disable those, or negate more ports from your $SHELLCODE_PORTS variable in your Suricata yaml.</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 2, 2017 at 11:30 PM, 박경호 <span dir="ltr"><<a href="mailto:pgh5247@naver.com" target="_blank">pgh5247@naver.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div style="font-size:10pt;font-family:Gulim"><p> </p><p>I try to use the suricata(version 3.2.0) to IDS mode to read and process multi-pcap files.</p><p>when i checked the alert messages in fast.log, same alert message were so many like below.</p><p>As i know, the suricata process the flow for the packets.</p><p>One message should be only alerted, in situation which it's transfered for packets with same tuple(source ip/port, destination ip/port, protocol) continuously.</p><p>But, it's different for testing result.</p><p>(test pcap : <a href="https://drive.google.com/file/d/0B4Mdb8bpuRlneS00bFoyWVZwMkk/view?usp=sharing" target="_blank">https://drive.google.com/file/<wbr>d/<wbr>0B4Mdb8bpuRlneS00bFoyWVZwMkk/<wbr>view?usp=sharing</a> )</p><p>[suricata.yaml] for flow-timeout</p><p>tcp:</p><p style="margin-left:20px">new: 1800</p><p style="margin-left:20px">established: 15</p><p style="margin-left:20px">closed: 0</p><p style="margin-left:20px">bypassed: 100</p><p> </p><p>02/23/2017-15:22:53.000610  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:53.000635  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:53.000655  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:53.000755  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:54.000126  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:54.000496  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:54.000517  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:54.000553  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:54.000594  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:55.000443  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:55.000489  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:55.000999  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000054  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000393  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000563  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000627  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000658  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000684  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000702  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000731  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a><br>02/23/2017-15:22:56.000762  [**] [1:2101390:6] GPL SHELLCODE x86 inc ebx NOOP [**] [Classification: Executable code was detected] [Priority: 1] {TCP} <a href="http://211.188.203.33:8012" target="_blank">211.188.203.33:8012</a> -> <a href="http://210.125.145.148:48927" target="_blank">210.125.145.148:48927</a></p><p> </p><p> </p></div></div>
<table style="display:none"><tbody><tr><td><img border="0"></td></tr></tbody></table><br>______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br></blockquote></div><br></div>