Hi,<div><br></div><div>I've been looking into resulst for a snort 2.9.0.3 connected to a span port on a switch. The traffice is between a load-balancer and a virtualised server.</div><div><br></div><div>What i am seeing that disturbs me most is a LOT of TCP overlapping packet, packets out of SPAWN window and other possible evasion-related notifications. </div>
<div><br></div><div>[129:7:1] Limit on number of overlapping TCP packets reached [Classification: Potentially Bad Traffic] [Priority: 2]</div><div>[129:4:1] TCP Timestamp is outside of PAWS window [Classification: Generic Protocol Command Decode] [Priority: 3]</div>
<div><br></div><div>further there are also messages regarding normal packet being outside of their window size.</div><div><br></div><div>Setting the threshold from 10 to 100 obviously reduced the number of messages related to overlapping tcp packets ... but i'm curious ... after a while the new threshold is reached again.</div>
<div><br></div><div>Now is my question </div><div><br></div><div>(1) if this could be indicative for traffic running across a span/monitor port on a cisco switch </div><div>OR </div><div>(2) if this is normal when watching traffic to/from a virtualised server.</div>
<div><br></div><div><br></div><div>Can you please inform me on possible interference from my set-up regarding these measurements ?</div><div><br></div><div><br></div><div>St. Crusty</div>