<div dir="ltr">Good afternoon, all.<div><br></div><div><br></div><div>I've been trying to find more information about the following flow options:</div><div><br></div><div>no_stream - Do not trigger on rebuilt stream packets (useful for dsize and stream5)</div><div>only_stream - Only trigger on rebuilt stream packets</div><div>no_frag - Do not trigger on rebuilt frag packets</div><div>only_frag - Only trigger on rebuilt frag packets<br></div><div><br></div><div>Other than this information that is mentioned in the manual, I can't seem to find anything else about these options.  I saw the following snort-devel thread from 2010 where it sounds like there was supposed to be some more information put into the manual:</div><div><br></div><div><a href="https://lists.snort.org/pipermail/snort-devel/2010-December/008525.html">https://lists.snort.org/pipermail/snort-devel/2010-December/008525.html</a><br></div><div><br></div><div>Another confusing thing is, the no_frag|only_frag options don't exist in the Cisco FireSIGHT rule editor.</div><div><br></div><div><br></div><div>My questions are:</div><div>1.) As far as the no_stream option goes, it sounds like all of the payload detection options have to fire on a single packet.  Is this correct?</div><div>2.) What are the no_frag|only_frag options used for?  The only "fragmentation" that I am aware of occurs in IP, and "flow" seems like it only pertains to TCP.<br></div><div><br></div><div><br></div><div>Thank you.</div><div><br></div><div><div><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><div><br></div><div>Warm Regards,<br>-Damian</div></div></div><div><br></div></div></div></div></div></div></div></div></div></div>
</div></div></div>