<br><br><div class="gmail_quote">On Mon, Jan 14, 2013 at 11:26 AM, 郑博文 <span dir="ltr"><<a href="mailto:anshuitian@gmail.com" target="_blank">anshuitian@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<span style="color:rgb(0,153,0)">Hello, all:<br>    I use suricata in IPS mode, I send a GET request to the server which the IPS protected, and the request touch off the 20000001 sig,<br>20000001 signature is: <span style="color:rgb(255,0,0)">drop http any any -> any any (msg:"http test for 2000001"; content:"20000001"; sid:2000001; rev:1;) <br>


<font color="#009900">    but there are two same logs in fast.log generated(whatever the action type of the signature is, there are two same logs.)，like this:<br></font></span></span><br><img src="" alt=""><br>
<br>   <span style="color:rgb(0,153,0)"> but, I capture packets by Wireshark, like this:</span><br></blockquote></div><br>The attachment of yours isn't visible.<br><br>You have 2 content matches against the stream?  Can you verify the multiple presence of 20000001 in your payloads?<br clear="all">

<br>-- <br>Anoop Saldanha<br>