<div dir="ltr"><div><span style="font-size:12.8px">Ok, this is interesting then. Yes, I know for absolute sure the packet is 5-6 bytes long. It is port 443 (brokenout ssl) traffic, but the only content is ams\r\n. There is no other content whatsoever. No headers, no anything. I know where the destination is (amazonaws hosts, legitimate traffic), so I am not sure how I can dynamically exclude those destinations without something like http_host. </span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">This help clarify what I am trying to do? Thanks!</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">---</span></div><div><span style="font-size:12.8px"><br></span></div><span style="font-size:12.8px">How do you have a HTTP session that is only 5-6 bytes?  Why would you</span><br style="font-size:12.8px"><span style="font-size:12.8px">need to even use a negated http_host if you are using dsize since "Host:</span><br style="font-size:12.8px"><span style="font-size:12.8px">" is already six bytes?</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">If it is the first application layer packet in the stream, you can use</span><br style="font-size:12.8px"><span style="font-size:12.8px">stream_size; for 6 bytes or less (coming from client):</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">stream_size:client,<,8;</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">or for 5-6 bytes:</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">stream_size:client,<,8; stream_size:client,>,6;</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">stream_size is based on sequence numbers so you have to keep in mind the</span><br style="font-size:12.8px"><span style="font-size:12.8px">3WHS.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">-David</span><br style="font-size:12.8px"></div>