<div dir="ltr">Coop,<div><br></div><div>Thank's for the speedy reply. I've confirmed that by playing with the flags option i can get suricata to trip on the desired 18 packets. </div><div><br></div><div>However, I suppose my question isn't so much as "how do i get this to trip on these packets" and more of why doesn't that signature trip on all of these packets? </div><div><br></div><div>For example, if i add a reputation alert (based off of those found at Emerging Threat's drop.rules file:</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><font face="monospace, monospace">alert ip 10.0.0.100 any -> any any (msg:"TEST Rule 2"; classtype:misc-attack; sid:9000002; rev:1;)</font></blockquote><div><br></div><div>I would expect there to be 20 alerts tripped, as I send 20 packets that have the source ip of 10.0.0.100 (as verified below):</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><font face="monospace, monospace"># tcpdump -nr test.pcap src net 10.0.0.100 | wc<br></font><font face="monospace, monospace">     20 lines</font></blockquote><div><br></div><div>However, I only see 5 total alerts...verified by:</div><div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><font face="monospace, monospace"># u2spewfoo unified2.alert.1460410545  | grep '(Event)' | wc<br>      5 lines</font></blockquote><div><br></div><div>~ Shane </div></div></div>