<div dir="ltr"><span style="font-size:12.800000190734863px">Hello</span><div style="font-size:12.800000190734863px">I have pcap file of 450 icmp fragmented packets.</div><div style="font-size:12.800000190734863px">when i pass it to snort with only icmp rules ..i get no alerts. when i add an ip rule i get exactly 450 alerts.</div><div style="font-size:12.800000190734863px">i set up the frag3_global: memcap 67108864, max_frags 131072</div><div style="font-size:12.800000190734863px">frag3_engine: : policy last detect_anomalies<br></div><div style="font-size:12.800000190734863px">does anybody have any idea of what is the problem ?!</div><div style="font-size:12.800000190734863px">#frag3_globalĀ </div></div>