Правило Security Onion Snort не срабатывает при получении правильной шестнадцатеричной подписи

Я пытаюсь написать правило Snort для обнаружения команд Trinoo C2, отправляемых через открытый текст через UDP.

В настоящее время я написал следующее правило:

alert udp any any -> any any ( msg:"TRINOO PNG MESSAGE SENT FROM C2"; content:"|70 6E 67|"; sid:1000001; )

Заглянув в Wireshark в Security Onion (машина с Snort), он получает пакет UDP со следующей шестнадцатеричной подписью: захват Wireshark и не запускается (выполняетсяsudo rule-update ошибок не выдает).

Я пытался:

• Удаление фильтра содержимого (может запускаться из обычного UDP-трафика)

• Смена SID

• Изменение интервала

• Замена шестнадцатеричных символов на строчные

• Удаление пробелов из шестнадцатеричной подписи

Я что-то пропустил?

PS Что еще страннее, что когда я удалить фильтр содержимого, правило триггеров для пакетов, которые даже не включают в себя правильные шестнадцатеричных байтах здесь