<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Hi all. I use snort 2.9.8.2 A have some pcap file for old attack
    (see attach) .  It contain only udp packets. <br>
    I wrote test rule:  <br>
    <br>
    alert udp any 500 -> any 500 (msg:"DOS Nbisakmp"; classtype:
    attempted-dos; sid:1000001; rev:1;)<br>
    <br>
    and run snort: <br>
    <br>
    snort  -c ./etc/snort.conf -A console -K none  -k none  -r
    ./pcaps/DOS_Nbisakmp.pcap<br>
    <br>
    and get no alerts. In output stats i have:  <br>
    <br>
    ...........<br>
    Packet I/O Totals:<br>
       Received:          100<br>
       Analyzed:          100 (100.000%)<br>
        Dropped:            0 (  0.000%)<br>
       Filtered:            0 (  0.000%)<br>
    Outstanding:            0 (  0.000%)<br>
       Injected:            0<br>
    .....................<br>
    <br>
    Breakdown by protocol (includes rebuilt packets):<br>
            Eth:          100 (100.000%)<br>
           VLAN:            0 (  0.000%)<br>
            IP4:          100 (100.000%)<br>
           Frag:            0 (  0.000%)<br>
           ICMP:            0 (  0.000%)<br>
            UDP:          100 (100.000%)<br>
    ...................<br>
    <b> UDP Disc:          100 (100.000%)</b><br>
      ICMP Disc:            0 (  0.000%)<br>
    All Discard:          100 (100.000%)<br>
    <br>
    (full output and snort.conf see in attach)<br>
    <br>
    <br>
    If i change rule  (udp to ip)  :<br>
    <br>
    alert <b>ip</b> any 500 -> any 500 (msg:"DOS Nbisakmp";
    classtype: attempted-dos; sid:1000001; rev:1;)<br>
    all packets generate alerts.  <br>
    <br>
    <br>
    So, why UDP packets in sample pcap discarded if i use udp protocol
    in alert?<br>
  </body>
</html>