Hi,<br>Suricata 1.2.1 behaves as expected - there is no alerts fired.<br>If you would like, you can share your yaml privately for further investigation.<br><br>Thanks for your help <br><br><div class="gmail_quote">On Tue, Jan 24, 2012 at 12:45 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
Im curious with this joigned pcap file on suricata v1.2.1, FP signatures example:<br>
 alert udp any any -> any 162 (msg:"suricata snmp trap udp"; dsize:0; classtype:attempted-recon; sid:9104192; rev:1;)<br>
another FP signature with same pcap:<br>
 alert udp any any -> any 5060 (msg:"suricata sip udp "; dsize:0; classtype:misc-attack; sid:9104843; rev:1; )<br>
...<br>
Anyone check/confirm please? if yes Im open a new redmine ticket.<br>
No alert with snort.<br>
<br>
Tshark partial output:<br>
...<br>
Internet Protocol Version 4, Src: 172.20.2.131 (172.20.2.131), Dst: 172.20.2.51 (172.20.2.51)<br>
 Version: 4<br>
 Header length: 20 bytes<br>
 Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))<br>
 Total Length: 1500<br>
 Identification: 0x7709 (30473)<br>
 Flags: 0x01 (More Fragments)<br>
     0... .... = Reserved bit: Not set<br>
     .0.. .... = Don't fragment: Not set<br>
     ..1. .... = More fragments: Set<br>
 Fragment offset: 0<br>
 Time to live: 128<br>
 Protocol: UDP (17)<br>
 Header checksum: 0x4129 [correct]<br>
 Source: 172.20.2.131 (172.20.2.131)<br>
 Destination: 172.20.2.51 (172.20.2.51)<br>
Data (1480 bytes)<br>
...<br>
<br>
Happy Detect.<br>
Regards<br>
Rmkml<br>
<br>
<a href="http://twitter.com/rmkml" target="_blank">http://twitter.com/rmkml</a><br>_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br></blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>