Thanks.  I do not have BotHunter.  The pcap and your conf, suitably modified, do not cause an issue on my 292.<br><br>-- Can you send the backtrace from the core file?  You will need to build with debug enabled.<br>
<br>-- Can you reproduce w/o BotHunter?<br><br>-- Can you test with the latest Snort release?<br><br>Thanks<br>Russ<br><br><div class="gmail_quote">On Thu, Feb 14, 2013 at 3:17 PM, z@@f@...3370... @}{m3D <span dir="ltr"><<a href="mailto:go2zaafar@...2499..." target="_blank">go2zaafar@...2997...499...</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">To make the email short,<br>Here is the output of snort running over this pcap file. (<a href="http://sysnet.org.pk/upload/snort_issue_output.txt" target="_blank">http://sysnet.org.pk/upload/snort_issue_output.txt</a>)<br>

Here is the script I used to run snort (<a href="http://sysnet.org.pk/upload/run_snort_script.txt" target="_blank">http://sysnet.org.pk/upload/run_snort_script.txt</a>). This is basically "runsnort.sh" script that comes with BotHunter to run snort.<br>


<br>final command line this script generate is like this:- <br><pre>snort-2.9.0.1-bh/src/snort -r theOne.pcap -u $_curUser -S "snort_sym_config=snort_bh_syms.conf" -c snort.curruser.conf</pre><br>Here(<a href="http://sysnet.org.pk/upload/snort_bh_syms.conf" target="_blank">http://sysnet.org.pk/upload/snort_bh_syms.conf</a>) is snort_bh_syms.conf file.<br>


Here(<a href="http://sysnet.org.pk/upload/snort.curruser.conf" target="_blank">http://sysnet.org.pk/upload/snort.curruser.conf</a>) is snort.curruser.conf.<br><br>*current scripts/outputs/configs are of snort-2.9.0.1 but I tried with latest release of BotHunter, which contain snort-2.9.2.3 and same bug.<br>


<br>Regards,<br>Zaafar<div><div><br><br><div class="gmail_quote">On Thu, Feb 14, 2013 at 11:20 PM, Russ Combs <span dir="ltr"><<a href="mailto:rcombs@...402..." target="_blank">rcombs@...402...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi - thanks for the report.  Can you also provide your build options, conf, and command line?<br><br>

<div class="gmail_quote">
<div><div>On Thu, Feb 14, 2013 at 1:05 PM, z@@f@...3370... @}{m3D <span dir="ltr"><<a href="mailto:go2zaafar@...2499..." target="_blank">go2zaafar@...2499...</a>></span> wrote:<br>
</div></div><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div>Hello,<br><br>I was running BotHunter ( latest, the one that uses "Snort 2.9.2.3 + applied numerous stability (bug) fixes." ) and snort was crashing on my 500GB pcap file. Upon digging into the main cause, there was a dns query that was crashing snort.<br>




<br>Here (<a href="http://sysnet.org.pk/upload/theOne.pcap" target="_blank">http://sysnet.org.pk/upload/theOne.pcap</a>) is the pcap file containing only 1 packet that crashes snort. To testing this pcap, use "115.186.147.79" as your HOME_NET. I bypassed this bug by removing this IP from the list of HOME_NET.<br>




<br>Regards,<br>Zaafar<br>
<br></div></div>------------------------------------------------------------------------------<br>
Free Next-Gen Firewall Hardware Offer<br>
Buy your Sophos next-gen firewall before the end March 2013<br>
and get the hardware for free! Learn more.<br>
<a href="http://p.sf.net/sfu/sophos-d2d-feb" target="_blank">http://p.sf.net/sfu/sophos-d2d-feb</a><br>_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net" target="_blank">Snort-devel@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br>
</blockquote></div><br>
</div></div></blockquote></div><br>