<div dir="ltr">I have a flow and data question about a signature I am trying to write.<div><br></div><div>I have a remote source initiating a connection to a local address, which then responds to the remote source with a given hex string 4 bytes long, offset 0.</div><div><br></div><div>I am looking at this:</div><div><br></div><div><a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords">https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Flow-keywords</a><br></div><div><br></div><div>but don't quite follow if I should use flow:from_server with src internal dest external, or established (which means it already was inspected as having a remote handshake with a local response that I am trying to alert off of?)</div><div><br></div><div>Thanks!</div><div><br></div></div>