<div dir="ltr">Thanks Victor and David.  Will look at the suggestions and see if not I will just leave it up to the "developers" of the rules to fix.  Just trying to get a head of the issues that will be occurring.  As stated we switched from Snort to Suricata recently, and I have some time, so looking deep into things.  <div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jul 7, 2020 at 11:30 PM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Note: we're soon closing this list. Please bring new topics to<br>
<a href="http://forum.suricata.io" rel="noreferrer" target="_blank">forum.suricata.io</a>.<br>
<br>
More inline.<br>
<br>
On 08-07-2020 01:16, David Decker wrote:<br>
> <br>
> I am taking a bunch of rules built by the organization (not me) and<br>
> trying to convert them over to Suricata<br>
> <br>
> <br>
> One issues is alot of rules are saying unknown rule keyword<br>
> 'stream_reassemble' and i know that Snort has that keyword, but does not<br>
> look like Suricat does. <br>
<br>
Correct, we don't support this. There is a 'bypass' keyword that would<br>
be similar to:<br>
<br>
stream_reassemble:disable,both,noalert,fastpath;<br>
<br>
<br>
> Second is offset for snort the numbers can be -65535 to 65535.  For<br>
> Suricata is says <br>
> 18446744073709551604 > 65535.  This had -12 offset.  <br>
<br>
This looks like a parsing issue on our end. However I fail to understand<br>
how a negative offset would work (we do support negative distance).<br>
<br>
<br>
> http_method pattern with trailing space is another.  <br>
<br>
Yes, this can't match. The method is the non-space bytes between the<br>
start of the request line and the first space.<br>
<br>
If you're looking for weirdness in the request line you can use the<br>
`http.request_line` buffer.<br>
<br>
<br>
> http_method or http_uri Keyword seen with a sticky buffer still set. <br>
> Reset sticky buffer with pkt_data before using the modifier.  <br>
<br>
This is usually something like:<br>
<br>
file_data; content:"abc"; content:"def"; http_uri;<br>
<br>
In modern suri you would write this as<br>
<br>
file.data; content:"abc"; http.uri; content:"def";<br>
<br>
<br>
<br>
> Cant really post the the full rules, but I might be albe to provide a<br>
> little more data, or if sometone can point to some better explanations<br>
> on what to look at in the rule as for the above errors<br>
> <br>
<br>
If the above isn't helping you get things resolved posting some<br>
(partial) examples will be helpful.<br>
<br>
Regards,<br>
Victor<br>
<br>
-- <br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
_______________________________________________<br>
NOTE: this list will soon be closed. New topics should be brought to: <a href="https://forum.suricata.io" rel="noreferrer" target="_blank">https://forum.suricata.io</a><br>
</blockquote></div>