<div dir="ltr">I unfortunately can't post the sig, but I am having a problem with modifying it. I hope someone can explain how to fix it based on the error:<div><br></div><div>SC_ERR_INVALID_SIGNATURE...</div><div>Signature combines packet specific matches (like dsize, flags, ttl) with stream / state matching by matching on app layer proto (like using http_* keywords)</div><div><br></div><div>I dont particularly understand this, but it is definitely an issue with http keywords. The sig consistently fires false positives on .<a href="http://amazon.com">amazon.com</a> and .<a href="http://adap.tv">adap.tv</a>. What I tried to do was append to the end of the sig:</div><div><br></div><div>content:!".<a href="http://amazon.com">amazon.com</a>"; http_host; content:!".<a href="http://adap.tv">adap.tv</a>"; http_host;</div><div><br></div><div>and got the above error. The sig currently performs the following inspection:</div><div><br></div><div>flow:established, to_server; dsize: SIZE; stream_size: both, <=SIZE; byte_test: 4, !=address,0; (several byte extracts follow)</div><div><br></div><div>with  my http_host keywords tacked on the end.</div><div><br></div><div>Thanks!</div><div><br></div></div>