Preámbulo : Primero quería agregar un comentario, ya que aún no está claro qué podría estar causando tu problema por la información que me proporcionas, pero me quedé sin espacio reservado para los comentarios. , así que aquí va mi sugerencia (no hay garantías de que sea así):
El tipo de archivo de captura por el que está intentando ejecutar las reglas de Snort es poco claro, tanto por su pregunta como por sus comentarios posteriores. Sin embargo, es posible que esté ejecutando su reproducción en un solo modo de captura de paquetes, pero desde un archivo con muchos pcaps . Eso es lo que implica la bandera -r (es lo mismo que usar -pcap-single=<file> ) y su comentario de que funciona en alguna regla y no en la otra sugiere que este también podría ser el caso (si en un caso la primera captura de paquetes coincidiría con sus reglas , mientras que en otra, el pcap que coincidiría con sus reglas podría no ser el primero en la lista de muchos). Para hacer que la reproducción de Snort procese múltiples pcaps desde un solo archivo de captura, use -pcap-file=<file> en su lugar.
Para estar seguro de que este es el caso, puedes probarlo con un indicador -pcap-no-filter y ver si se itera a través de todos ellos en la salida. Otros argumentos de la línea de comando relevantes para su caso de uso son aquí listados .
Alternativamente, puedes cambiar tu regla para que coincida con todos los paquetes y ver cuántos resultados arroja:
alert udp any any -> any any (msg:"This should match all UDP packets in an input file";)
Aparte de esto, no veo ningún problema con su regla de snort que dio en el ejemplo, y sigue a Snort forma correcta correctamente.