<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 5.50.4807.2300" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>I am 
having some problems capturing large packets.  For example, I am executing 
the following command on a Linux box</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2>        ping localhost -c 1 -s 
30000</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>and 
snort gets the fragments OK, but if I do the following</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2>        ping localhost -c 1 -s 
50000</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>I only 
get one.</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>If I 
do this</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001>        
<FONT face=Arial color=#0000ff size=2>ping localhost -c 1 -s 
60000</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>I get 
nothing.  I am pretty sure it's a problem with libpcap > .6 because 
tcpdump is behaving the same way.  I happen to have an old binary of snort 
1.7, which I must have compiled with an other version of libpcap that behaves as 
it should (gets all the fragments).  Is there a way to tell what version a 
snort binary was linked to?  Like tcpdump -V ?</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff size=2>Is 
anyone else have such problems?</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2>Rob</FONT></SPAN></DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=396120600-24102001><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV></BODY></HTML>