alert udp $HOME_NET any -&gt; $EXTERNAL_NET 53 (msg:&quot;ET P2P DNS Query For Torrent Tracker&quot;; content:&quot;|01 00 00 01 00 00 00 00 00 00 07|tracker&quot;; depth:18; offset:2; classtype:policy-violation; reference:url,<a href="http://en.wikipedia.org/wiki/BitTorrent_tracker">http://en.wikipedia.org/wiki/BitTorrent_tracker</a>; sid:1459991; rev:1;)<br>
<br>Good for detecting torrents when they start up and it gets the trackers. Might be worth considering a limit on it though depending on people&#39;s thoughts. Regards. Kevin<br>