<br><br><div class="gmail_quote">On Sun, Apr 17, 2011 at 5:08 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@free.fr">rmkml@free.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hi,<br>
First, Great Congratulations for new Suricata 1.0.3/1.1beta2 release!<br>
<br>
Second, I have a small pb with joigned pcap file.<br>
<br>
ok first sig working:<br>
 alert tcp any any -> any 21 (msg:"FTP format string in ftp cmd attempt"; flow:to_server,established;<br>
 content:"%"; depth:4; offset:0; classtype:misc-activity; sid:945011; rev:1;)<br>
<br>
ok second sig NOT working (but work with snort):<br>
 alert tcp any any -> any 21 (msg:"FTP format string in ftp cmd attempt"; flow:to_server,established;<br>
 content:"%"; depth:4; offset:0; content:"%"; within:2; distance:1; classtype:misc-activity; sid:945012; rev:1;)<br>
<br>
stream:<br>
 checksum_validation: no # or yes have same pb for me<br>
<br>
Thx you again for your time for checking my test.<br>
If you confirm, Im open a new ticket on suricata redmine.<br>
<br>
Regards<br><font color="#888888">
Rmkml</font><br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
<br></blockquote></div><br>From what I see, yeah a FN.  The first sigs not firing as well for me.  This is more down to the - alproto detection + stream mpm + no stateful mpm thing.  A stateful mpm should fix this issue.  A bug in redmine should be better to keep us reminded on implementing it, although we have it in our feature list.<br>
<br>-- <br>Regards,<br>Anoop Saldanha<br><br>