<div dir="ltr"><div>Thanks.  I probably should have mentioned it in the initial email but I'm replaying at 100 Mbps and tried at 10 Mbps with the same results.<br><br></div>-Mike Cox<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 29, 2016 at 4:21 PM, abed mohammad kamaluddin <span dir="ltr"><<a href="mailto:abedamu@...3035....." target="_blank">abedamu@...2499...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Generally this should happen if packets are sent at a rate higher than<br>
what snort can process, or the packet ordering is messes up resulting<br>
in lots of TCP discards. In your case since there are no drops, the<br>
ordering should be the issue. One way to get consistent results using<br>
tcpreplay is to replay at very low rates ( using pps or M option) -<br>
this works for us.<br>
<br>
<br>
Abed M K<br>
<br>
><br>
> Message: 2<br>
> Date: Thu, 25 Feb 2016 08:18:11 -0500<br>
> From: Mike Cox <<a href="mailto:mike.cox52@...2499...">mike.cox52@...2499...</a>><br>
> Subject: [Snort-devel] DAQ dump: load-mode passive on dummy interface<br>
>         vs      read-file<br>
> To: "<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@lists.sourceforge.net</a>"<br>
>         <<a href="mailto:snort-devel@...2431...ts.sourceforge.net">snort-devel@lists.sourceforge.net</a>><br>
> Message-ID:<br>
>         <<a href="mailto:CANXgGSLh0WGj0XRAwDqkvQC1r1XgujZ5fLumi21nYrjXDVGhtQ@...2500...">CANXgGSLh0WGj0XRAwDqkvQC1r1XgujZ5fLumi21nYrjXDVGhtQ@...2500...</a>><br>
> Content-Type: text/plain; charset="utf-8"<br>
<div><div class="h5">><br>
> When I run a pcap thru snort using the dump DAQ and<br>
> '--load-mode=read-file', everything works great.<br>
><br>
> snort -Q --daq dump --daq-dir /usr/lib/daq/ --daq-var --load-mode=read-file<br>
> --pcap-list="my.pcap" -k none ...<br>
><br>
> But when I try to have Snort listen on a dummy interface (that is set to<br>
> promiscuous mode) and then use tcpreplay to send traffic to that interface,<br>
> Stream6 has all kinds of issues:<br>
><br>
> snort -Q --daq dump --daq-dir /usr/lib/daq/ --daq-var --load-mode=passive<br>
> -i dummy0 -k none ...<br>
><br>
> (The rest of this email discusses the dummy0/tcpreplay scenario and I'm<br>
> replaying at a low(ish) rate and confirming no packet drops in Snort nor on<br>
> the interface.)<br>
><br>
> When the pcap replay is done, Snort is left in a state with a lot of<br>
> unflushed data.  Looking at the stats when Snort exits, there are a lot of<br>
> TCP discards.  Turning on some debugging messages shows a number of these<br>
> errors:<br>
><br>
> Pkt ack is out of bounds, bailing!<br>
> bad sequence number, bailing<br>
> bad timestamp, bailing<br>
><br>
> I also see some of these (example):<br>
><br>
> packet PAWS timestamp way too far ahead oflast packet 1456349637 0...<br>
><br>
> Note the '0' at the end which is the value of talker->ts_last_pkt<br>
> (timestamp of last packet seen -- not the TCP Options timestamp but epoch<br>
> of when Snort saw the packet).<br>
><br>
> I also see a lot of "one offs" like this:<br>
><br>
> out of order segment (tdb->seq: 0xC3F899C l->r_nxt_ack: 0xC3F899D!<br>
><br>
> So my questions is, what is different with having Snort listen on the dummy<br>
> interface vs reading the pcap file?  Every time I run the same pcap with<br>
> tcpreplay, I don't get the same issues from the same segments and different<br>
> segments end up being queued and not flushed.  I'm also unable to reduce<br>
> the issue to a single stream or a small pcap (if I carve out a single<br>
> stream or portion that was exhibiting issues in the larger pcap and run it,<br>
> it does fine). This looks to be Stream6 thing and turning on/off PAF,<br>
> normalize, running in inline-test mode, etc. produces the same results.<br>
> For some reason the segments aren't being processed properly resulting in<br>
> TCP discards and ultimately unflushed data.<br>
><br>
> This may not be a Snort thing but something strange about the dummy<br>
> interface and/or the dump DAQ but I thought I'd ask here in case anyone had<br>
> any insight or dealt with this before.<br>
><br>
> I'm testing on Snort 2.9.7.5 and DAQ 2.0.5 on CentOS 7 64-bit.<br>
><br>
> Thanks!<br>
><br>
> -Mike Cox<br>
</div></div>> -------------- next part --------------<br>
> An HTML attachment was scrubbed...<br>
<br>
------------------------------------------------------------------------------<br>
Site24x7 APM Insight: Get Deep Visibility into Application Performance<br>
APM + Mobile APM + RUM: Monitor 3 App instances at just $35/Month<br>
Monitor end-to-end web transactions and take corrective actions now<br>
Troubleshoot faster and improve end-user experience. Signup Now!<br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=272487151&iu=/4140" rel="noreferrer" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=272487151&iu=/4140</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" rel="noreferrer" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
Archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel" rel="noreferrer" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-devel</a><br>
<br>
Please visit <a href="http://blog.snort.org" rel="noreferrer" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div><br></div>