<div dir="ltr"><div>Hi,<br><br></div>I am trying to generate alerts for multiple failed ftp logins. The rules I am using are <br><div><div><br><br>(1) alert tcp any any -> any any (msg:"incorrect login attempt -- count logins !"; content:"incorrect"; flowint:loginfail, +, 1; sid:101;)<br>
(2) alert tcp any any -> any any (msg:"Two login attempts fail in a Stream"; content:"incorrect"; flowint:loginfail, ==, 2; sid:102;)<br><br><br></div><div>I tried using <br><br>(3) alert tcp any any -> any any (msg:"Two or more login attempts fail in a 
Stream"; content:"incorrect"; flowint:loginfail, >, 1; sid:103;)<br><br>to alert for more than one failed login attempt.<br><br>I haven't been able to generate an alert using both (2) and (3). At least three failed login attempts occur in a single stream.<br>
<br>Surricata is generating an alert when an alertall rule like this one is used:<br>alert tcp any any -> any any (msg:"Two login attempts fail in a 
Stream"; content:"incorrect";)<br></div><div><br></div><div>Can someone tell me what is missing in the rules? The client/server capture is attached for reference.<br><br></div><div>Thank you<br></div><div>
Ted<br></div><div><br><br></div></div></div>