<div>&nbsp;</div>
<div>I&nbsp;am facing issue with signature match for the traffic without handshake signals</div>
<div>&nbsp;</div>
<div>I&nbsp;wrote following signature</div>
<div>&nbsp;</div>
<div>signature ftp_220response {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ip-proto == tcp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; payload /[\n\r ]*(120|220)[^0-9].*\r\n/<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; event &quot;FTP Response 220 matched&quot;<br>}<br>&nbsp;</div>
<div>this signature match will happen for the traffic with initial SYN,SYN-ACK, and ACK followed by the 220 response FTP packet,</div>
<div>&nbsp;</div>
<div>but if&nbsp;I gave the traffic without the initial handshakes (i.e. only the 220 response FTP packet ) the same signature will not match, but the signature without line &quot;ip-proto == tcp&quot; will work i.e.</div>
<div>&nbsp;</div>
<div>signature ftp_220response {<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; payload /[\n\r ]*(120|220)[^0-9].*\r\n/<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; event &quot;FTP Response 220 matched&quot;<br>}</div>
<div>&nbsp;</div>
<div>the above signature will work for the both the cases(with&nbsp; and without handshake packets), but i am curious to know why the signatures with the line &quot;ip-proto == tcp&quot; will not work for the asymmetric case.
</div>
<div>is it the desired way of working??</div>
<div>&nbsp;</div>
<div>-Sri<br>&nbsp;</div>