
Hi,<br>Suricata 1.2.1 behaves as expected - there is no alerts fired.<br>If you would like, you can share your yaml privately for further investigation.<br><br>Thanks for your help <br><br><div class="gmail_quote">On Tue, Jan 24, 2012 at 12:45 AM, rmkml <span dir="ltr"><<a href="mailto:rmkml@yahoo.fr">rmkml@yahoo.fr</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>

Im curious with this joigned pcap file on suricata v1.2.1, FP signatures example:<br>

 alert udp any any -> any 162 (msg:"suricata snmp trap udp"; dsize:0; classtype:attempted-recon; sid:9104192; rev:1;)<br>

another FP signature with same pcap:<br>

 alert udp any any -> any 5060 (msg:"suricata sip udp "; dsize:0; classtype:misc-attack; sid:9104843; rev:1; )<br>

...<br>

Anyone check/confirm please? if yes Im open a new redmine ticket.<br>

No alert with snort.<br>

<br>

Tshark partial output:<br>

...<br>

Internet Protocol Version 4, Src: 172.20.2.131 (172.20.2.131), Dst: 172.20.2.51 (172.20.2.51)<br>

 Version: 4<br>

 Header length: 20 bytes<br>

 Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))<br>

 Total Length: 1500<br>

 Identification: 0x7709 (30473)<br>

 Flags: 0x01 (More Fragments)<br>

     0... .... = Reserved bit: Not set<br>

     .0.. .... = Don't fragment: Not set<br>

     ..1. .... = More fragments: Set<br>

 Fragment offset: 0<br>

 Time to live: 128<br>

 Protocol: UDP (17)<br>

 Header checksum: 0x4129 [correct]<br>

 Source: 172.20.2.131 (172.20.2.131)<br>

 Destination: 172.20.2.51 (172.20.2.51)<br>

Data (1480 bytes)<br>

...<br>

<br>

Happy Detect.<br>

Regards<br>

Rmkml<br>

<br>

<a href="http://twitter.com/rmkml" target="_blank">http://twitter.com/rmkml</a><br>_______________________________________________<br>

Oisf-devel mailing list<br>

<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br></blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>