<span id="result_box" class="short_text" lang="en"><span class="">I</span> <span class="hps atn">re-</span><span class="">tested, the detail is:<br><br></span></span>version: <br><span style="color:rgb(0,102,0)">1.4 release</span><br>
<br>suricata.yaml:<br><span style="color:rgb(0,102,0)">...<br>default-rule-path: /etc/suricata/rules/<br>rule-files:<br><br> - local.rules<br>...</span><br><br>local.rules:<br><span style="color:rgb(0,102,0)">alert ip any any -> any any (msg:"http test for 2000001"; content:"aaabbbccc"; sid:2000001; rev:1;)</span><br>
<br>now, I sen a GET request to the server which the IPS protected, then fast.log <span id="result_box" class="short_text" lang="en"><span class="">produces the following</span> <span class="hps">log</span></span>:<br><span style="color:rgb(0,102,0)">01/14/2013-16:05:18.125442  [**] [1:2000001:1] http test for 2000001 [**] [Classification: (null)] [Priority: 3] {TCP} <a href="http://192.168.9.140:8045">192.168.9.140:8045</a> -> <a href="http://192.168.9.14:80">192.168.9.14:80</a><br>
01/14/2013-16:05:18.126659  [**] [1:2000001:1] http test for 2000001 [**] [Classification: (null)] [Priority: 3] {TCP} <a href="http://192.168.9.140:8045">192.168.9.140:8045</a> -> <a href="http://192.168.9.14:80">192.168.9.14:80</a><br>
01/14/2013-16:05:18.128767  [**] [1:2000001:1] http test for 2000001 [**] [Classification: (null)] [Priority: 3] {TCP} <a href="http://192.168.9.140:8045">192.168.9.140:8045</a> -> <a href="http://192.168.9.14:80">192.168.9.14:80</a><br>
01/14/2013-16:05:18.129407  [**] [1:2000001:1] http test for 2000001 [**] [Classification: (null)] [Priority: 3] {TCP} <a href="http://192.168.9.140:8045">192.168.9.140:8045</a> -> <a href="http://192.168.9.14:80">192.168.9.14:80</a></span><br>
<br>and I capture packets by Wireshark as pic1.jpg<br><br>the cmd line: <br><span style="color:rgb(0,102,0)">/usr/bin/suricata -D -c /etc/suricata/suricata.yaml -q 50 -q 51 -q 52 -q 53 --runmode workers</span><br><br>iptables:<br>
<span style="color:rgb(0,102,0)">Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination         <br>14571 2019K NFQUEUE    all  --  any    any     anywhere             anywhere            length 0:1500 NFQUEUE balance 50:53</span><br>
<br><span id="result_box" class="short_text" lang="en"><span class="">I also</span> <span class="hps">changed</span> <span class="hps">the</span> protocol to <span class="hps">http or</span> <span class="hps">tcp</span></span>, same result.<br>
<br><br><br><br><div class="gmail_quote">2013/1/14 Ö£²©ÎÄ <span dir="ltr"><<a href="mailto:anshuitian@gmail.com" target="_blank">anshuitian@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">2013/1/14 Ö£²©ÎÄ <span dir="ltr"><<a href="mailto:anshuitian@gmail.com" target="_blank">anshuitian@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span style="color:rgb(0,153,0)">Hello, all:<br>    I use suricata in IPS mode, I send a GET request to the server which the IPS protected, and the request touch off the 20000001 sig,<br>20000001 signature is: <span style="color:rgb(255,0,0)">drop http any any -> any any (msg:"http test for 2000001"; content:"20000001"; sid:2000001; rev:1;) <br>


<font color="#009900">    but there are two same logs in fast.log generated(whatever the action type of the signature is, there are two same logs.)£¬like this:<br></font></span></span><br><img src="" alt=""><br>
<br>   <span style="color:rgb(0,153,0)"> but, I capture packets by Wireshark, like this:<br></span><br><img src="" alt=""><br>
<br><br>    Why?<br>    <span lang="en"><span></span></span>
</blockquote></div><br><br></div></div>sorry, the pictures were damaged.<br><br>the first pic is 1.jpg, the second pic is 2.jpg.<br>
</blockquote></div><br>