<DIV>
<DIV>
<DIV>Hi,</DIV>
<DIV>I have some signatures as example:</DIV>
<DIV>alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-FRONTPAGE _vti_inf.html access"; flow:to_server,established; uricontent:"/_vti_inf.html"; nocase; reference:nessus,11455; classtype:web-application-activity; sid:990; rev:9;)</DIV>
<DIV><BR>This signature generated some alerts.But the packets that had generated the alert don't have payload, they only have a ip and tcp header. How can this packet  generate alert without having the uricontent "/_vi_inf.html" specified in the signature ?</DIV>
<DIV> </DIV>
<DIV>Obs: I'm using the database output plugin, like this:output database: alert, mysql, user=root dbname=snort host=cirene,detail=full</DIV>
<DIV> </DIV>
<DIV>this output log all the packet, including payload<BR></DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV><BR> </DIV></DIV></DIV><p>
                <hr size=1><a href=" http://us.rd.yahoo.com/mail/br/taglines/*http://br.acesso.yahoo.com/">Yahoo! Acesso Grátis</a>: Internet rápida e grátis. <a href=" http://us.rd.yahoo.com/mail/br/taglines/*http://br.acesso.yahoo.com/">Instale o discador agora!</a>