Bug #9
closedrules containing the same content match do not fire.
Description
Given a payload containing "oisf" 800 times these rules should both fire. If you comment them out one at a time they both work correctly. The first content match in sid5 is the exact same content match in sid 6. Note that sid:5 is looking at tcp while sid 6 is looking at ip. This doesn't seem to matter much but there could be valid use cases for this. I have attached a patch that shows a failing unittest.
alert tcp any any -> any any (msg:"long sig match oisf 5"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; distance:0; within: 200; sid:5;)
alert ip any any -> any any (msg:"long sig match oisf 6"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; sid:6;)
Files
Updated by Victor Julien about 15 years ago
- Estimated time changed from 0.50 h to 2.50 h
Updated by Will Metcalf about 15 years ago
- Assignee changed from OISF Dev to Pablo Rincon
Updated by Victor Julien almost 15 years ago
- Status changed from New to Closed
- % Done changed from 0 to 100
Should work with latest master. Thanks Pablo!