Lorsque Snort décode une trame ICMP de n (<4) bytes, il indique une payload supérieure à 65535-n bytes. Cette valeur peut-être obtenue dans les règles à l'aide de dsize.
La règle verifira si on a bien une trame ICMP de type ECHO REQUEST (type=8) et que la payload est supérieure à 65531 bytes.
alert icmp $EXT_NET any -> $HOME_NET any (msg:"ICMP less four bytes";itype:8;dsize:>655531;)
alert icmp $EXT_NET any -> $HOME_NET any (msg:"ICMP less four bytes";itype:8;dsize:>655531;)
Maintenant, pour ce qui est de détecter cette attaque dans un environement non vulnérable, il suffit de vérifier si la payload est inférieure à 4 bytes :
alert icmp $EXT_NET any -> $HOME_NET any (msg:"ICMP less four bytes";itype:8;dsize:<4;)