<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18928">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Joel,</SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Sorry 
If I did not provide the info you need…here it is: snort 2.8.6.1  
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" 
/><o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore"><SPAN 
style="FONT: 7pt 'Times New Roman'"> </SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">We 
are experiencing a large percentage of dropped packet… dropped packets start 
very low, but on the increase all the time exceeding 70%. please see attached 
startup and  perf. monitor report<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">2.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">We 
see a large number of open sessions  without any reduction.  see 
attached perf. monitor  and attached config file<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">3.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Only 
7 rule groups are applied<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">4.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">We 
have disabled many preprocessors and so rules in an attempt to debug the dropped 
packet problem??<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">5.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">We 
do not detect duplicate traffic, snort is running on BR0 which is made of eth0 
and eth1.<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">6.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Snort 
is not on a network tap…running inline without blocking.<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">7.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">We 
are detecting alerts which are valid alerts.<o:p></o:p></SPAN></P>
<P style="TEXT-INDENT: -0.25in; mso-list: l0 level1 lfo1" 
class=MsoListParagraph><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><SPAN 
style="mso-list: Ignore">8.<SPAN 
style="FONT: 7pt 'Times New Roman'">       
</SPAN></SPAN></SPAN><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Machine 
is duel core, 16GB memory @1333Ghz, fSB 1333Ghz, nic on PCI 2.0 5GBs, Raid SAS 
15000RPM<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p> </o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">The 
issue is the dropped packets…..i hope the attached files provide you with enough 
info to be able to help<o:p></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p> <SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Thanks,</SPAN></o:p></SPAN></P>
<P class=MsoNormal><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt"><o:p><SPAN 
style="FONT-FAMILY: 'Calibri','sans-serif'; COLOR: #1f497d; FONT-SIZE: 11pt">Larry</SPAN></o:p></SPAN></P></DIV>
<BLOCKQUOTE 
style="BORDER-LEFT: #000000 2px solid; PADDING-LEFT: 5px; PADDING-RIGHT: 0px; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px" 
dir=ltr>
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="FONT: 10pt arial; BACKGROUND: #e4e4e4; font-color: black"><B>From:</B> 
  <A title=jesler@...1935... href="mailto:jesler@...1935...">Joel 
  Esler</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A title=lhughes@...14822... 
  href="mailto:lhughes@...14822...">Lawrence R. Hughes, Sr.</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Cc:</B> <A 
  title=snort-users@lists.sourceforge.net 
  href="mailto:snort-users@lists.sourceforge.net">snort-users@...635...eforge.net</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Tuesday, February 01, 2011 1:45 
  PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [Snort-users] snort inline 
  (non-drop mode) br0</DIV>
  <DIV><BR></DIV>Lawrence,
  <DIV><BR></DIV>
  <DIV>I keep seeing you post to the list asking about open sessions.  But 
  I never see any responses to anyone's questions that we ask.</DIV>
  <DIV><BR></DIV>
  <DIV>Are you having a problem with open sessions, or are you perceiving it to 
  be a problem?  What's the problem?  Are you dropping packets? 
   Are you seeing duplicate traffic?</DIV>
  <DIV><BR></DIV>
  <DIV>Is Snort not detecting things?  What's the issue?</DIV>
  <DIV><BR></DIV>
  <DIV>Joel<BR><BR>
  <DIV class=gmail_quote>On Tue, Feb 1, 2011 at 12:59 PM, Lawrence R. Hughes, 
  Sr. <SPAN dir=ltr><<A 
  href="mailto:lhughes@...14822...">lhughes@...14822...</A>></SPAN> 
  wrote:<BR>
  <BLOCKQUOTE 
  style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" 
  class=gmail_quote>
    <DIV bgcolor="#ffffff">
    <DIV><FONT size=2 face=Arial>Hi,</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>We use snort inline in the non-drop mode and 
    our sensor is listens on br0.</FONT></DIV>
    <DIV><FONT size=2 face=Arial>Could it be that we detect the 3whs (session) 
    with stream5, but don't detect when the session has ended, thus giving us a 
    high rate </FONT><FONT size=2 face=Arial>of open sessions?</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>If this is the case, then what interface would 
    be better to use eth0 or eth1 (currently both eth0 & eth1 are configed 
    to give us br0) ?</FONT></DIV>
    <DIV><FONT size=2 face=Arial></FONT> </DIV>
    <DIV><FONT size=2 face=Arial>Thanks,</FONT></DIV>
    <DIV><FONT size=2 face=Arial>Larry</FONT></DIV>
    <DIV><FONT size=2 
    face=Arial></FONT> </DIV></DIV><BR>------------------------------------------------------------------------------<BR>Special 
    Offer-- Download ArcSight Logger for FREE (a $49 USD value)!<BR>Finally, a 
    world-class log management solution at an even better 
    price-free!<BR>Download using promo code Free_Logger_4_Dev2Dev. Offer 
    expires<BR>February 28th, so secure your free ArcSight Logger TODAY!<BR><A 
    href="http://p.sf.net/sfu/arcsight-sfd2d" 
    target=_blank>http://p.sf.net/sfu/arcsight-sfd2d</A><BR>_______________________________________________<BR>Snort-users 
    mailing list<BR><A 
    href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...974...rceforge.net</A><BR>Go 
    to this URL to change user options or unsubscribe:<BR><A 
    href="https://lists.sourceforge.net/lists/listinfo/snort-users" 
    target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users</A><BR>Snort-users 
    list archive:<BR><A 
    href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
    target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR></BLOCKQUOTE></DIV><BR><BR 
  clear=all><BR>-- <BR>Joel Esler
  <DIV>Skype:eslerjoel</DIV>
  <DIV><A href="http://blog.snort.org" 
  target=_blank>http://blog.snort.org</A> && <A 
  href="http://blog.clamav.net" 
  target=_blank>http://blog.clamav.net</A></DIV><BR></DIV></BLOCKQUOTE></BODY></HTML>