yaml: group ICS protocols together

author Victor Julien <victor@inliniac.net>

Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)

committer Victor Julien <victor@inliniac.net>

Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)
author Victor Julien <victor@inliniac.net>
Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)
committer Victor Julien <victor@inliniac.net>
Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)
diff --git a/suricata.yaml.in b/suricata.yaml.in

index c657be3f406ee8e91a6043b55c3591039506c4f8..1a431dc3348f109bc393561f057eb726d11cca22 100644 (file)
--- a/suricata.yaml.in
+++ b/suricata.yaml.in
@@ -704,32 +704,6 @@ app-layer:
        enabled: yes
        detection-ports:
          dp: 139
-    # Note: Modbus probe parser is minimalist due to the poor significant field
-    # Only Modbus message length (greater than Modbus header length)
-    # And Protocol ID (equal to 0) are checked in probing parser
-    # It is important to enable detection port and define Modbus port
-    # to avoid false positive
-    modbus:
-      # How many unreplied Modbus requests are considered a flood.
-      # If the limit is reached, app-layer-event:modbus.flooded; will match.
-      #request-flood: 500
-
-      # Stream reassembly size for modbus. By default track it completely.
-      stream-depth: 0
-
-      enabled: no
-      detection-ports:
-        dp: 502
-      # According to MODBUS Messaging on TCP/IP Implementation Guide V1.0b, it
-      # is recommended to keep the TCP connection opened with a remote device
-      # and not to open and close it for each MODBUS/TCP transaction. In that
-      # case, it is important to set the depth of the stream reassembling as
-      # unlimited (stream.reassembly.depth: 0)
-    # DNP3
-    dnp3:
-      enabled: no
-      detection-ports:
-        dp: 20000
      # smb2 detection is disabled internally inside the engine.
      #smb2:
      #  enabled: yes
@@ -854,6 +828,34 @@ app-layer:
             #    double-decode-path: no
             #    double-decode-query: no
  
+    # Note: Modbus probe parser is minimalist due to the poor significant field
+    # Only Modbus message length (greater than Modbus header length)
+    # And Protocol ID (equal to 0) are checked in probing parser
+    # It is important to enable detection port and define Modbus port
+    # to avoid false positive
+    modbus:
+      # How many unreplied Modbus requests are considered a flood.
+      # If the limit is reached, app-layer-event:modbus.flooded; will match.
+      #request-flood: 500
+
+      enabled: no
+      detection-ports:
+        dp: 502
+      # According to MODBUS Messaging on TCP/IP Implementation Guide V1.0b, it
+      # is recommended to keep the TCP connection opened with a remote device
+      # and not to open and close it for each MODBUS/TCP transaction. In that
+      # case, it is important to set the depth of the stream reassembling as
+      # unlimited (stream.reassembly.depth: 0)
+
+      # Stream reassembly size for modbus. By default track it completely.
+      stream-depth: 0
+
+    # DNP3
+    dnp3:
+      enabled: no
+      detection-ports:
+        dp: 20000
+
      # SCADA EtherNet/IP and CIP protocol support
      enip:
        enabled: no
author	Victor Julien <victor@inliniac.net>
	Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)
committer	Victor Julien <victor@inliniac.net>
	Mon, 31 Oct 2016 13:11:57 +0000 (14:11 +0100)