<div dir="ltr"><div>We've got a DHCP implementation well underway.  I need to push the most recent work to my pubic git repo.<br><br></div>Tom<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Apr 9, 2017 at 10:16 PM, <a href="mailto:tidy@holonetsecurity.com">tidy@holonetsecurity.com</a> <span dir="ltr"><<a href="mailto:tidy@holonetsecurity.com" target="_blank">tidy@holonetsecurity.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Jason, great and thanks very much for your detail info and will update you when I run into issue.<br>
<br>
-Tidy<br>
<div class="HOEnZb"><div class="h5"><br>
> On Apr 10, 2017, at 12:11 PM, Jason Ish <<a href="mailto:lists@ish.cx">lists@ish.cx</a>> wrote:<br>
><br>
> On 09/04/17 08:55 PM, <a href="mailto:tidy@holonetsecurity.com">tidy@holonetsecurity.com</a> wrote:<br>
>> I would like to add application protocol parsing to suricata engine,<br>
>> example: DHCP protocol. what main framework code we need to change ?<br>
>> Thanks.<br>
><br>
> There is not much of a guide right now, but there are some templates and generation scripts designed to help you get started.<br>
><br>
> For the actual parsing of the protocol and handling protocol state, see:<br>
> src/app-layer-template.[ch]<br>
><br>
> For logging application events (ie: dns, tls, etc) see:<br>
> src/output-json-template.c<br>
><br>
> For performaning content inspection on buffers extracted as part of the app-layer see:<br>
> src/detect-template-buffer.c<br>
><br>
> There are some scripts to handle some of the boilerplate, such as:<br>
><br>
> - To stub the initial app-layer for your protocol:<br>
>  ./scripts/setup-app-layer.sh DHCP<br>
> (sorry, there is a typo in this script...  edx instead of ed, so just fix that up before running)<br>
><br>
> - To stub out the application logging:<br>
>  ./scripts/setup-app-layer-<wbr>logger.sh DHCP<br>
><br>
> - And to stub out detection:<br>
>  ./scripts/setup-app-layer-<wbr>detect-detect.sh DHCP<br>
><br>
> Please note that I think the scripts may be do for some updating, so please let me know if you run into any issues.<br>
><br>
> As for DHCP, please note than an implementation is already under review and should show up soon.<br>
><br>
> Jason<br>
> ______________________________<wbr>_________________<br>
> Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
</div></div></blockquote></div><br></div>