<div dir="ltr"><div><div><div><div>I updated a copy of the Quickdraw Dnp3 rules based on the following:<br><br></div>1) Replace dnp3_cmd_fc with dnp3_func<br></div>2) Replace dnp3_cmd_ot with dnp3_obj, a variation value is needed and research indicated a value of 1 would be appropriate for an object value of 50, but I am not 100% certain<br></div>3) Comment out rules that use dnp3_checksum<br><br></div>Most of the rules trigger using the pcap files that come with the Quickdraw set, including the one using the keyword dnp3_obj.<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 10, 2017 at 9:18 AM, Jason Ish <span dir="ltr"><<a href="mailto:ish@unx.ca" target="_blank">ish@unx.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Fred,<br>
<span class=""><br>
> On Aug 9, 2017, at 11:01 AM, Fred Austin <<a href="mailto:fred.austin@n-dimension.com">fred.austin@n-dimension.com</a>> wrote:<br>
><br>
> Examining the lastest version (v1.3, 2015 on Github) of the Quickdraw IDS rules set for Snort/Suricata the DNP3 rules, they contain dnp3 keywords which are no longer supported, namely:<br>
><br>
>     - dnp3_cmd_fc<br>
>     - dnp3_cmd_ot<br>
>     - dnp3_checksum<br>
><br>
> The currently supported dnp3 keywords are:<br>
><br>
>     - dnp3_func<br>
>     - dnp3_ind<br>
>     - dnp3_obj<br>
>     - dnp3_data<br>
><br>
> I could not find any documentation about the previous dnp3 keywords (dnp3_cmd_fc, etc). Does anyone have any documentation about the previous dnp3 keywords and how they map to the new (supported) keywords? At first guess, I would assume that "dnp3_cmd_fc" maps to "dnp3_func", but it is not clear about the other keywords.<br>
<br>
</span>To the best of my knowledge Suricata has never been compatible with the Quickdraw DNP3 rules, instead our DNP3 keywords are designed to be compatible with those built into Snort. Unfortunately while those keywords above are used in some rulesets, they have never worked with Suricata.  At some point I’d like to look at the Quickdraw rules and rewrite them for Suricata, but I’m not sure when I can get around to that.<br>
<span class="HOEnZb"><font color="#888888"><br>
Jason<br>
<br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Fred Austin<br>VP Product Development<br>N-Dimension Solutions<br><i style="font-size:16px;font-family:Calibri,sans-serif"><span style="font-size:11pt;font-family:Arial"><font size="2">Cyber Security Protection
for Critical Infrastructure Assets</font><br><br></span></i>This email and any files transmitted with it are solely intended for the use of the named recipient(s) and may contain information that is privileged and confidential. If you receive this email in error, please immediately notify the sender and delete this message in all its forms.  E-mail transmission cannot be guaranteed to be secure or error-free as information could be intercepted, corrupted, lost, destroyed, arrive late or incomplete, or contain viruses.  Therefore N-Dimension Solutions Inc. does not accept liability for any errors or omission in the contents of the message which arise as a result of e-mail transmission.</div></div>
</div>