Snort non mostra pacchetti rilasciati / bloccati

Questa domanda riguarda SNORT - Sto fondamentalmente cercando di rilevare attacco PING FLOOD.  Ho incluso il          regola ** (drop icmp any - > any any (itype: 8; threshold, track by_src, count 20, seconds; msg: "Ping flood attack rilevato"; sid: 100121)) ** per quello nel file ddos.rule di snort.

Attaccare usando il comando hping3 -1 --fast .

Le statistiche ping nella macchina attaccante dicono: 100% perdita di pacchetti. tuttavia le statistiche di azione Snort mostrano i verdetti come: Block - > 0.

Perché sta succedendo questo?