<pre style="opacity: 1;"><span class="payload-ascii">This is easier to read:<br><br>GET.HTTP/1.1.HTTP/1.1
Accept:.*/*
Accept-Language:.en-us
Accept-Encoding:.gzip,.deflate
User-Agent:.Toata.dragostea.mea.pentru.diavola
Host:.173.255.236.165
Connection:.Close</span></pre><br><div class="gmail_quote">On 4 October 2011 15:44, Kevin Ross <span dir="ltr">&lt;<a href="mailto:kevross33@googlemail.com">kevross33@googlemail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
No I don&#39;t. Where I did see it was when I was having a look at the snorby test instance and their alerts and I looked at the packet (I am still a BASE person, I can customise it to have other graphs and things easier I find and I prefer the way you drill into alerts). The packets look like this. I think it may be good to try and see if any other scanners are like that too (it may be a way to check how a server handles header options or something. <br>

<br><pre><span>0000000:</span> <span>47 45 54 20 48 54 54 50 2f 31 2e 31 20   48 54 54 50 2f 31 2e 31 0d 0a 41 63 63 </span> <span>GET.HTTP/1.1.HTTP/1.1..Acc</span>
<span>000001A:</span> <span>65 70 74 3a 20 2a 2f 2a 0d 0a 41 63 63   65 70 74 2d 4c 61 6e 67 75 61 67 65 3a </span> <span>ept:.*/*..Accept-Language:</span>
<span>0000034:</span> <span>20 65 6e 2d 75 73 0d 0a 41 63 63 65 70   74 2d 45 6e 63 6f 64 69 6e 67 3a 20 67 </span> <span>.en-us..Accept-Encoding:.g</span>
<span>000004E:</span> <span>7a 69 70 2c 20 64 65 66 6c 61 74 65 0d   0a 55 73 65 72 2d 41 67 65 6e 74 3a 20 </span> <span>zip,.deflate..User-Agent:.</span>
<span>0000068:</span> <span>54 6f 61 74 61 20 64 72 61 67 6f 73 74   65 61 20 6d 65 61 20 70 65 6e 74 72 75 </span> <span>Toata.dragostea.mea.pentru</span>
<span>0000082:</span> <span><a href="tel:20%2064%2069%2061%2076" value="+12064696176" target="_blank">20 64 69 61 76</a> 6f 6c 61 0d 0a 48 6f 73   74 3a 20 31 37 33 2e 32 35 35 2e 32 33 </span> <span>.diavola..Host:.173.255.23</span>
<span>000009C:</span> <span>36 2e 31 36 35 0d 0a 43 6f 6e 6e 65 63   74 69 6f 6e 3a 20 43 6c 6f 73 65 0d 0a </span> <span>6.165..Connection:.Close..</span>
<span>00000B6:</span> <span>0d 0a                                                                           </span> <span>..</span></pre><div><div></div><div class="h5"><br><br><br><div class="gmail_quote">
On 4 October 2011 13:23, rmkml <span dir="ltr">&lt;<a href="mailto:rmkml@free.fr" target="_blank">rmkml@free.fr</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi Kevin,<br>
Thx you very much for all posted rules.<br>
Do you have tested a first rule please? because &#39;http_header&#39; need a correct header and if not: Im not sure snort firing?<br>
Do you have a pcap?<br>
Regards<br><font color="#888888">
Rmkml</font><div><div></div><div><br>
<br>
<br>
On Tue, 4 Oct 2011, Kevin Ross wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
alert tcp $EXTERNAL_NET any -&gt; $HOME_NET $HTTP_PORTS (msg:&quot;ET SCAN Toata Scanner/Invalid Double HTTP in Header Detected&quot;; flow:established,to_server; content:&quot;HTTP/1.1|20|HTTP/1.1&quot;<u></u>; http_header; threshold: type limit, count 1,<br>


seconds 60, track by_src; classtype:attempted-recon; reference:url,<a href="http://isc.sans.org/diary.html?storyid=5599" target="_blank">isc.sans.org/<u></u>diary.html?storyid=5599</a>; classtype:attempted-recon; sid:1231991; rev:1;)<br>


<br>
# Starting to see more and in sandnet<br>
alert udp $HOME_NET any -&gt; $EXTERNAL_NET 53 (msg:&quot;ET POLICY DYNAMIC_DNS Query for no-ip Dynamic DNS Domain - Possibly Malware Related&quot;; content:&quot;|01 00 00 01 00 00 00 00 00 00|&quot;; depth:10; offset:2; content:&quot;|05|no-ip|03|&quot;;<br>


distance:0; fast_pattern; classtype:misc-activity; sid:1231992; rev:1;)<br>
<br>
Regards, Kevin<br>
<br>
<br>
<br>
</blockquote>
</div></div></blockquote></div><br>
</div></div></blockquote></div><br>