inspect_gzip will just decompress the compressed data and store it in a different buffer. <br><br>No compression in case of inline mode. So since we don't overwrite the packet payload with decompressed data we dont need to compress the data again.<br>
<br>max_gzip_mem (as mentioned in the manual) along with decompress and compress depths determines the maximum number of http sessions (with gzipped data) to decompress. This is an optimization option. We dont want the system to run out of memory trying to decompress all the compressed data.<br>
<br><br>Hope that helps.<br>-B<br><br><div class="gmail_quote">On Tue, May 18, 2010 at 1:26 PM, L0rd Ch0de1m0rt <span dir="ltr"><<a href="mailto:l0rdch0de1m0rt@...2420...">l0rdch0de1m0rt@...2420...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello.  I have a simple question about the inspect_gzip option in<br>
Snort 2.8.6.  I am reading in the manual where it says, on page 55 "To<br>
enable compression of HTTP server response, Snort should be configured<br>
with the –enable-zlib flag."  I thought that the inspect_gzip option<br>
just decompressed the gzip data for Snort, not compressed it.  Or is<br>
for in-line Snort where the inspected gzipped data gets gzipped back<br>
up before being passed on?  If so, why not just keep a copy of the<br>
original gzipped data in a separate buffer and forward that instead.<br>
I guess if you did that you'd have to drop the whole gzip buffer up to<br>
max_gzip_mem bytes on an IPS drop event.  Or am I reading too much<br>
into this?<br>
<br>
Thanks.<br>
<br>
-L0rd Ch0de1m0rt<br>
<br>
------------------------------------------------------------------------------<br>
<br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
</blockquote></div><br>