
<div dir="ltr">Hi, Peter<div><br></div><div><p class=""><span lang="EN-US">In my test, I find that when I sleep a

while (several minutes) between each replay. Then each replay can cause alerts

correctly. </span></p>


<p class=""><span lang="EN-US">‘Correctly’ at here I means that if each

replay cause 50 alerts, N times replay cause N*50 alerts.</span></p></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 15, 2013 at 10:12 PM, xbadou xbadou <span dir="ltr"><<a href="mailto:xbadou@gmail.com" target="_blank">xbadou@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><p><span lang="EN-US">Hi</span></p>


<p><span lang="EN-US">I replay the pcap file which is attached. The

pcap file can cause many alerts in fast.log, for example 50 alerts. When I

replay it for a second time, I expected there will be 100 alerts in fast.log

but it is still 50. </span></p><p><span lang="EN-US">But when I restart suricata and replay the packet then I can

get 100 alerts.</span></p></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 15, 2013 at 9:50 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi ,<br>

<div><br>

><br>

><br>

><br>

> On Mon, Jul 15, 2013 at 8:54 PM, xbadou xbadou <<a href="mailto:xbadou@gmail.com" target="_blank">xbadou@gmail.com</a>> wrote:<br>

>><br>

>> Hi<br>

>><br>

>><br>

>><br>

>> I am using suricata 1.4.2. Today I do a test, but can't get the result I<br>

>> want.<br>

>><br>

<br>

</div>What is the result that you want?<br>

<div><br>

>><br>

>><br>

>> I use a computer runing suricata and listen traffic on one interface. On<br>

>> the same time, I use the other PC replaying a pcap file on the interface<br>

>> which connected to the first PC. The pcap file contain some tcp packet which<br>

>> can cause alerts.<br>

>><br>

>><br>

>><br>

<br>

<br>

</div>What are the alerts that you are seeing and what are the alerts that<br>

you are expecting?<br>

<br>

<br>

<br>

Regards,<br>

Peter Manev<br>

</blockquote></div><br></div>

</div></div></blockquote></div><br></div>