This detection is better:<br><br><a href="http://vrt-blog.snort.org/2011/10/ssl-dos-snort-and-you.html?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=Feed%3A+Vrt+%28Sourcefire+VRT+-+Vulnerability+Research%2C+Razorback+and+Explosions%29">http://vrt-blog.snort.org/2011/10/ssl-dos-snort-and-you.html?utm_source=feedburner&amp;utm_medium=feed&amp;utm_campaign=Feed%3A+Vrt+%28Sourcefire+VRT+-+Vulnerability+Research%2C+Razorback+and+Explosions%29</a><br>
<br><br><br><br><div class="gmail_quote">On 31 October 2011 19:24, Rich Rumble <span dir="ltr">&lt;<a href="mailto:richrumble@gmail.com">richrumble@gmail.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
On Tue, Oct 25, 2011 at 1:47 PM, Rich Rumble &lt;<a href="mailto:richrumble@gmail.com">richrumble@gmail.com</a>&gt; wrote:<br>
&gt; Would it be best to use a threshold rule of some sort, or are there other ways<br>
&gt; in Snort and or Suricata that would be better?<br>
&gt; <a href="http://www.thc.org/thc-ssl-dos/" target="_blank">http://www.thc.org/thc-ssl-dos/</a><br>
This is my first real threshold rule, I&#39;m simply looking for<br>
this string: 14 03 01 00 01 01<br>
<br>
There are other rules that are similar (sid:2003008, 2003009, 2003018, 2003019)<br>
I&#39;m not sure how to better narrow down to these ports:<br>
443, 465, 563, 636, 989, 990, 993, 995, 5223<br>
which are typical services over SSL/TLS. Right now the rule might be a<br>
bit costly with<br>
&quot;any&quot; being used.  No &quot;SSL_Ports&quot; variable that I can find in Snort or<br>
Suri, I wonder<br>
if SSL might be port agnostic like Http is in Suri?<br>
<br>
I&#39;ve been able to get this to FP by holding F5 in a browser and doing a google<br>
search (<a href="https://google.com" target="_blank">https://google.com</a>) or in gmail holding F5. I&#39;ve tried to tune it to the<br>
THC tool and a Bash script they also published, it&#39;s working well so far...<br>
<a href="http://www.thc.org/thc-ssl-dos/" target="_blank">http://www.thc.org/thc-ssl-dos/</a><br>
<br>
<br>
alert tcp $EXTERNAL_NET any -&gt; $HOME_NET any (msg:&quot;ET DOS SSL<br>
Renegotiation&quot;; flow:established; ssl_state: server_hello;<br>
content:&quot;|14 03 01 00 01 01|&quot;; detection_filter:track by_src, count 8,<br>
seconds 1; reference:url,<a href="http://www.thc.org/thc-ssl-dos" target="_blank">http://www.thc.org/thc-ssl-dos</a>; sid:1000001;)<br>
<br>
Maybe the folks on the Pro side would be better suited for such a<br>
rule, but to me the bash<br>
script and the thc-ssl-dos tool look very similar, but are not exact<br>
matches in traffic generated.<br>
-rich<br>
_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@emergingthreats.net">Emerging-sigs@emergingthreats.net</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for Snort 2.4.0 through Current!<br>
</blockquote></div><br>