<DIV>Oh I am extremly Sorry for that... But in this test case I am searching for <A href="mailto:trinity@...2502...">trinity@...2502...</A>.</DIV>
<DIV> </DIV>
<DIV>Sorry I didn't mention that......</DIV>
<DIV> </DIV>
<DIV>Dennis<BR><BR><B><I>Paul Tinsley <jackhammer@...2499...></I></B> wrote:</DIV>
<BLOCKQUOTE class=replbq style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #1010ff 2px solid">Now I may be missing something but looking at your pcap file, there is<BR>nothing in there to trigger the rule... Here is the ascii content<BR>between the hosts for the 3131 connection:<BR>Wow, over a year since the laslability, take<BR>a loi trinity@...2502... Welcome<BR>.nort but are interested in a <BR>* Major tagging updally supported version with<BR>ent==============================<BR><BR><BR>You are searching for Hello World, that pcap file shouldn't trigger an alert.<BR><BR>Thanks,<BR>Paul Tinsley<BR><BR><BR>----- Original Message -----<BR>From: Dennis George <EASYEINFO@...83...><BR>Date: Mon, 26 Apr 2004 22:42:23 -0700 (PDT)<BR>Subject: Re: [Snort-devel] Content across multiple packets Not detected by Snort<BR>To: snort-devel@lists.sourceforge.net<BR>Cc: Martin Roesch <ROESCH@...2484...><BR><BR><BR><BR><BR>Hi Marty,<BR><BR><BR>Here with this mail I am sending the pcaps
 of my traffic.... It<BR>contains other traffic also. I am testing snort by creating a server<BR>client program... My server is listening to port no 3131 and the<BR>client is sending data to the same port (3131). So check for the 3131<BR>port in the pcaps.<BR><BR><BR>Thanks and regards<BR><BR><BR>Dennis<BR><BR>Martin Roesch <ROESCH@...2484...>wrote:<BR><BR>No, I meant do you have binary packet capture files (pcaps) of the <BR>traffic that you're having trouble with? To generate them simply, run <BR>'tcpdump -w packets.pcap' and run your traffic, that should record the <BR>traffic and put it in a format that can be played back through Snort.<BR><BR>-Marty<BR><BR><BR><BR>________________________________<BR>Do you Yahoo!?<BR>Win a $20,000 Career Makeover at Yahoo! HotJobs</BLOCKQUOTE><p>
                <hr size=1><font face=arial size=-1>Do you Yahoo!?<br><a href="http://pa.yahoo.com/*http://us.rd.yahoo.com/hotjobs/hotjobs_mail_signature_footer_textlink/evt=23983/*http://hotjobs.sweepstakes.yahoo.com/careermakeover">Win a $20,000 Career Makeover at Yahoo! HotJobs </a>