Правило Snort для поиска JPG

Я пытаюсь выучить фырканье. Я хочу, чтобы он предупреждал меня, если он находит изображение jpg или jpeg внутри пакета.

Вот мое текущее правило:alert tcp any any <> any any (Content:"|ff d8|"; nocase; msg:"JPEG обнаружен"; sid:1000004;), но все, что я переделываю pcap с изображением внутри или используйте hping3 для отправки пакета с небольшим изображением, о котором он не сообщает. Что я делаю не так?