<br><br><div class="gmail_quote">On Mon, Jan 23, 2012 at 12:36 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
Suricata not fire with this signature and joigned pcap file:<br>
 alert tcp any 110 -> any any (msg:"pop3 suricata reply"; flow:to_client,established; content:"-ERR"; nocase; depth:4; offset:0; classtype:misc-attack; sid:9116511; rev:1;)<br>
<br>
but fire with this signature: (only changed depth)<br>
 alert tcp any 110 -> any any (msg:"pop3 suricata reply"; flow:to_client,established; content:"-ERR"; nocase; depth:53; offset:0; classtype:misc-attack; sid:9116511; rev:1;)<br>
<br>
Im curious why first signature not fire ?<br>
If anyone confirm FN, Im open a new ticket on redmine.<br>
Of course, snort fire with two signatures.<br>
Regards<br>
Rmkml<br>
<br>
<a href="http://twitter.com/rmkml" target="_blank">http://twitter.com/rmkml</a><br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br></blockquote></div><br><br><br>Hi,<br><br>I can confirm that.<br>
Could you please open a ticket for that too.<br>some additional info:<br><br>the packet in question is packet number 8 (if you open it with wireshark)<br>If you  read just that packet , with that rule - <br><br>alert tcp any 110 -> any any (msg:"pop3 suricata reply"; content:"-ERR"; depth:4; offset:0; classtype:misc-attack; sid:9116511; rev:1;)<br>
<br>flow:to_client,established; - is missing, naturally, because we read only one pkt - it does fire.<br>so it seams that somehow when it reads the whole stream it does not catch it.....<br clear="all"><br>with the following rule and the whole pcap :<br>
alert tcp any 110 -> any any (msg:"pop3 suricata reply"; flow:to_client,established; content:"-ERR"; nocase; depth:54; offset:0; classtype:misc-attack; sid:9116511; rev:1;)<br><br>it starts to fire an alert only when "depth" equals 53 and up.<br>
<br><br>Thanks<br><br>-- <br>Peter Manev<br>