<br><br><div class="gmail_quote">2013/1/14 Ö£²©ÎÄ <span dir="ltr"><<a href="mailto:anshuitian@gmail.com" target="_blank">anshuitian@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span style="color:rgb(0,153,0)">Hello, all:<br>    I use suricata in IPS mode, I send a GET request to the server which the IPS protected, and the request touch off the 20000001 sig,<br>20000001 signature is: <span style="color:rgb(255,0,0)">drop http any any -> any any (msg:"http test for 2000001"; content:"20000001"; sid:2000001; rev:1;) <br>

<font color="#009900">    but there are two same logs in fast.log generated(whatever the action type of the signature is, there are two same logs.)£¬like this:<br></font></span></span><br><img src="" alt=""><br>
<br>   <span style="color:rgb(0,153,0)"> but, I capture packets by Wireshark, like this:<br></span><br><img src="" alt=""><br>
<br><br>    Why?<br>    <span lang="en"><span></span></span>
</blockquote></div><br><br>sorry, the pictures were damaged.<br><br>the first pic is 1.jpg, the second pic is 2.jpg.<br>