<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: Memory leak in 1.9.0?</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>The WinPCap FAQ also seems to indicate that BSODs can occur, and at least w/ my SMP Snort sensor, I've gotten one or two BSODs, esp. when I'm messing around a lot w/ the Snort config and doing a lot of start/stop/restart of the Snort process.  </FONT></P>

<P><FONT SIZE=2>Unfortunately, I am not aware of any other packet capture drivers under Win32.  :{  Maybe raw sockets?!  </FONT>
</P>

<P><FONT SIZE=2>- Christopher </FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: David Wilkinson [<A HREF="mailto:dwilkinson@...4293...024...">mailto:dwilkinson@...8024...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, January 17, 2003 3:41 PM</FONT>
<BR><FONT SIZE=2>To: L. Christopher Luther</FONT>
<BR><FONT SIZE=2>Subject: RE: Memory leak in 1.9.0?</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Christopher,</FONT>
</P>

<P><FONT SIZE=2>Thank you.</FONT>
</P>

<P><FONT SIZE=2>Yes, I was aware of the SMP issue with winpcap, which is why we are running V 2.02.  All of the research we had done pointed to a time stamp issue with the SMP configuration which has little or no consequence to us as a NIDS program.</FONT></P>

<P><FONT SIZE=2>Is there another packet capture method you are familiar with?</FONT>
</P>

<P><FONT SIZE=2>David</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: L. Christopher Luther [<A HREF="mailto:CLuther@...843.....6333...">mailto:CLuther@...6333...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Friday, January 17, 2003 10:58 AM</FONT>
<BR><FONT SIZE=2>To: 'David Wilkinson'</FONT>
<BR><FONT SIZE=2>Cc: Snort-Users (E-mail)</FONT>
<BR><FONT SIZE=2>Subject: RE: Memory leak in 1.9.0?</FONT>
<BR><FONT SIZE=2>Sensitivity: Confidential</FONT>
</P>
<BR>

<P><FONT SIZE=2>Are you sure it's Snort that is causing the memory leak and not WinPCap (Task Manager will not delineate the memory used by snort.exe alone vs snort.exe wpcap.dll)?  </FONT></P>

<P><FONT SIZE=2>As you may or may not know, WinPCap does not officially support SMP platforms (see <A HREF="http://winpcap.polito.it/misc/faq.htm#Q-15" TARGET="_blank">http://winpcap.polito.it/misc/faq.htm#Q-15</A>), so it's very possible that WinPCap is the culprit, and Snort 2.0 will not solve your problems.  </FONT></P>

<P><FONT SIZE=2>IMHO, </FONT>
<BR><FONT SIZE=2>- Christopher </FONT>
</P>

<P><FONT SIZE=2>[...snip...]</FONT>
</P>

</BODY>
</HTML>