<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"></head><body><span class="Apple-style-span" style="background-color: transparent;">Hi <span class="Apple-style-span" style="background-color: transparent;">doc,</span></span><div><span class="Apple-style-span" style="background-color: transparent;">Can <span class="Apple-style-span" style="background-color: transparent;">you <span class="Apple-style-span" style="background-color: transparent;">share <span class="Apple-style-span" style="background-color: transparent;">pcap <span class="Apple-style-span" style="background-color: transparent;">please ? <span class="Apple-style-span" style="background-color: transparent;">And <span class="Apple-style-span" style="background-color: transparent;">exact <span class="Apple-style-span" style="background-color: transparent;">snort <span class="Apple-style-span" style="background-color: transparent;">rule + <span class="Apple-style-span" style="background-color: transparent;">snort.<span class="Apple-style-span" style="background-color: transparent;">conf + <span class="Apple-style-span" style="background-color: transparent;">snort <span class="Apple-style-span" style="background-color: transparent;">cmd <span class="Apple-style-span" style="background-color: transparent;">line ? <span class="Apple-style-span" style="background-color: transparent;">Snort <span class="Apple-style-span" style="background-color: transparent;">version ...</span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></span></div><div><span class="Apple-style-span" style="background-color: transparent;">Merry <span class="Apple-style-span" style="background-color: transparent;">Christmas</span></span></div><div><span class="Apple-style-span" style="background-color: transparent;">Rmkml</span></div><div><span class="Apple-style-span" style="background-color: transparent;"><br></span></div></body></html><br><br>

 a √©crit : 

<br><br><body>Greetings,<div><br></div><div>During some recent testing it seems that Snort does not detect large (>1500 bytes) UDP packets.  Why does this happen?</div><div><br></div><div>I am using hping3 to craft the UDP packets, I see them via tcpdump running on the snort box but snort refuses to alert.</div>
<div><br></div><div>The rule fires when I have a packet size < 1400 bytes. The rule I am trying to fire is a very simple "alert udp any any <> any 6033 ..."</div><div><br></div><div>What do you guys use to detect this type of packet?</div>
<div><br></div><div>Thanks,</div><div><br></div><div>Doc</div> </body>