<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body>Hi,<div>Im test this rule work correctly:</div><div>alert any any -> any 80 (msg:"test1"; flow:to_server,established; content:"hear"; within:4; distance:0; http_cookie; ...</div><div><br></div><div>my network traffic contains:</div><div> GET ....</div><div> Cookie: hear...</div><div><br></div><div>ok</div><div><br></div><div>If I change to within:3</div><div>Suricata stop with error: good!</div><div><br></div><div><br></div><div>ok I move to depth/offset fire:</div><div>alert any any -> any 80 (msg:"test3"; flow:to_server,established; content:"hear"; depth:4; offset:0; http_cookie; ...</div><div><br></div><div>another test fire but no error, why? : (reduced depth value)</div><div>alert any any -> any 80 (msg:"test4"; flow:to_server,established; content:"hear"; depth:3; offset:0; http_cookie; ...</div><div><br></div><div>Someone check/replay please? I open a new redmine ticket If you need.</div><div>Regards</div><div>Rmkml</div><div><br></div></body></html>