<div dir="ltr">On 07/30/2013 04:47 PM, Prabhakaran Kasinathan wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">



> Hi everyone,<br>
><br>
> Let's consider that we have a pcap file with 50 matches of ICMP_SEQ:<br>
> $number$ using wireshark.<br>
><br>
> When we use suricata using the same pcap to match ICMP_SEQ:$number$ ( in<br>
> a rule), it produces sometimes different, but little less than or equal<br>
> to the actual 50 matches.<br>
><br>
> I mean for the first time it triggers 45 alerts, and different next<br>
> time. It misses some matches! This pattern can be reproduced in<br>
> different cases such as threshold rule, etc. Each time with the same<br>
> rule and same pcap, I get different match or sometime same number of match.<br>
<br>
How are you starting Suricata? I get predicable results every time.<br><br></blockquote><div>I found that, when the pcap size is less, Suricata predicts the exact numbers.But, if the pcap is little larger, it has an impact in the accuracy. </div>



<div> </div><div>After make, I start suricata like this..  </div><div>sudo ./src/.libs/suricata -c suricata.yaml -r test00.pcapng </div><div><br></div><div>--</div><div>Best Regards,</div><div>Prabhakaran Kasinathan.</div>


</div><br></div></div>