Suricata

Given a payload containing "oisf" 800 times these rules should both fire. If you comment them out one at a time they both work correctly. The first content match in sid5 is the exact same content match in sid 6. Note that sid:5 is looking at tcp while sid 6 is looking at ip. This doesn't seem to matter much but there could be valid use cases for this. I have attached a patch that shows a failing unittest.

alert tcp any any -> any any (msg:"long sig match oisf 5"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; distance:0; within: 200; sid:5;)
alert ip any any -> any any (msg:"long sig match oisf 6"; content:"oisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisfoisf"; sid:6;)