<html><body><div style="color:#000; background-color:#fff; font-family:times new roman, new york, times, serif;font-size:12pt">Attention Joe and snort rule writers. I have read a fair amount of information on writing rules, but now I am stuck on how to to this.<br><br>How could I detect on the following scenario? - Alert on any packet that contains ANYTHING OTHER THAN "message1", "message2" or "message3", in a certain field.<br><br>Obviously I could use offset and depth to narrow down to the field I'm looking at, but now to a do a "negative search". Ideas?<br><br><br>Side Note: I'm pretty sure whatever Joe Esler gets paid isn't nearly enough. I love the blogs too, Joe.<br><br><br><div><br></div></div></body></html>