<div>I test some rules by the suricata, i find it's strange;</div><div>My english is a little poor, please forgive me</div><div><br></div><div>rule       alert tcp any any -> any any ( msg:"test1", sid:100001; )</div><div>should not alert every packet in this tcp flow, but the result is just two alerts   one is syn , other is syn ack, i am not find the reson</div><div><br></div><div>capture        i use nfq to capture packet;   suricata  runmode inline nfqueue;</div><div>the packets counts and bytes in the two place is very different,  i understand tcp overlap, but why the bytes is different</div><div><br></div><div>pcap-log      i observe the flow use wireshark,there is no ethernet information ,just raw packet data, why is this </div>