<div dir="ltr">Hi everyone, <div><br></div><div>I tried to use a simple capture to check ICMP_SEQ keyword.</div><div><br></div><div>Capture File:</div><div><a href="http://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=v6.pcap">http://wiki.wireshark.org/SampleCaptures?action=AttachFile&do=get&target=v6.pcap</a></div>

<div><br></div><div>Pck no.152 has seq number: 768</div><div><br></div><div>My rule was: </div><div>alert icmp any any -> any any (msg:\"check icmp seq \"; icmp_seq:768; sid:7; rev:3;)<br></div><div><br></div>

<div>----</div><div>Results: No triggers.</div><div><br></div><div>------------------</div><div>I tried to change some code in detect-icmp-seq.c</div><div><br></div><div>Diff:</div><div><br></div><div><div>125c125,128</div>

<div><                 seqn = ICMPV6_GET_SEQ(p);</div><div>---</div><div>>                 seqn = (ICMPV6_GET_SEQ(p));</div><div>>                 if (seqn == ntohs(iseq->seq)){</div><div>>                 return 1;</div>

<div>>   <span class="" style="white-space:pre">     </span>        } </div><div>135,137d137</div><div>< </div><div><     if (seqn == iseq->seq)</div><div><         return 1;</div></div><div>------</div><div>Results: </div>

<div>Now it triggers 2 alerts as expected. <br></div><div>----------------</div><div><div>03/11/1999-14:46:04.776394  [**] [1:7:3] check icmp seq \ [**] [Classification: (null)] [Priority: 3] {IPv6-ICMP} 3ffe:0507:0000:0001:0260:97ff:fe07:69ea:129 -> 3ffe:0507:0000:0001:0200:86ff:fe05:80da:0</div>

<div>03/11/1999-14:46:04.776126  [**] [1:7:3] check icmp seq \ [**] [Classification: (null)] [Priority: 3] {IPv6-ICMP} 3ffe:0507:0000:0001:0200:86ff:fe05:80da:128 -> 3ffe:0507:0000:0001:0260:97ff:fe07:69ea:0</div></div>

<div>-----------------</div><div><br></div><div>Is this a fix to the problem ? or I understood in a wrong way ? </div><div><br></div><div><br></div><div><div>--<br>Best Regards,<br>Prabhakaran Kasinathan<br></div>
</div></div>