<html><head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Arial",sans-serif;

        color:windowtext;

        font-weight:normal;

        font-style:normal;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head><body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Running Suricata 4.0.0 and 4.0.3, Linux 6.8 (red hat variant), Kernel 3.8.13-118.8.1 and 4.1.12-103.9.2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">I have the following rule that is looking for a uri that contains abcde.py at the end.  As I understand it, if I have 3 content fields these should be a logical AND, not a logical OR.  That is,

 in this case the packet should include the POST AND /abcde.py AND Content-Length|3a| 56|0d 0a|<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">alert http $HOME_NET any -> $EXTERNAL_NET any (msg: "This alert is for a uri"; content:"POST"; http_method; content:"/abcde.py"; http_uri; urilen:9; content:"Content-Length|3a| 56|0d 0a|"; http_header;

 classtype:malware; sid:123456; rev:4;)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">The rule is firing and giving me this stream  data, the only match I see is “Content-Length: 56”; I do not see the POST nor the abcde.py.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">HTTP/1.1 200 OK<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Content-Type: text/plain<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Last-Modified: Mon, 14 Mar 2011 15:31:49 GMT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Accept-Ranges: bytes<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">ETag: "4ccd5def5ce2cb1:0"<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Server: Microsoft-IIS/7.5<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">X-Powered-By: ASP.NET<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Date: Fri, 03 Nov 2017 17:29:31 GMT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Connection: close<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Content-Length: 56<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">User-agent: *<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Disallow: /downloads/<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Disallow: /videos/HTTP/1.1 200 OK<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Content-Type: text/plain<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Last-Modified: Mon, 14 Mar 2011 15:31:49 GMT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Accept-Ranges: bytes<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">ETag: "4ccd5def5ce2cb1:0"<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Server: Microsoft-IIS/7.5<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">X-Powered-By: ASP.NET<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Date: Fri, 03 Nov 2017 17:29:31 GMT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Connection: close<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Content-Length: 56<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">User-agent: *<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Disallow: /downloads/<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Disallow: /videos/<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Arial",sans-serif">Questions<br>

1.    I am not getting all of the data?<br>

<br>

2.  Does it matter if there is a space between content: and “POST”; that is will content: “POST” and content:“POST” behave the same?<br>

<br>

3.  Other than the Suricata documentation, are there any other good resources for learning to write rules?<o:p></o:p></span></p>

</div>

This message and attachments may contain confidential information. If it appears that this message was sent to you by mistake, any retention, dissemination, distribution or copying of this message and attachments is strictly prohibited. Please notify the sender

 immediately and permanently delete the message and any attachments.

<br /><br />. . . . .</body></html>