Just one last note to make sure that everyone underastands the problem.  The problem is not with the schema of the database this time.  The problem is with interpertation of the output of decode.c.  The frag_flag element actually indicates that a packet is a frament, it does not store the ip fragmentation flags.  The output plugin for the database then stuffs the frag_flag element into ip_flags in the database.  So the wrong information is getting populated into the database field.  <br /><br />Kareem<br /><br /><br />
<blockquote style="border-left: 2px solid #267fdb; margin: 0pt 0pt 0pt 1.8ex; padding-left: 1ex;">On Mon, Aug 15, 2011 at 8:53 PM, Joel Esler <<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>> wrote:<br />> Hopefully the barnyard folks will see this thread and comment on their<br />> code.<br />><br />> Sent from my iPhone<br />> On Aug 15, 2011, at 20:34, <a href="mailto:kareem@...15353..." target="_blank">kareem@...15353...</a> wrote:<br />><br />> I think that I originally found this running barnyard2.  It looks like there<br />> is a lot of code reuse between barnyard2 and snort.  Decode.c and<br />> spo_database.c are used in both and the versions appear to be very similar.<br />> Although the unified2 output is correct, the problem then propagates into<br />> barnyard. I still get an invalid pcap from base.<br />><br />> Thanks to both of you for the fast response.<br />><br /><br />I see tha the main issue is the way base reconstruct a pcap file from<br />whats is logged.<br /><br />This being said, there is not mutch we can do for now to make this<br />work since theses pieces of codes<br />(spo_databases) that uses the ACID schema haven't changed since nearly a decade.<br /><br />A simple and easy solution would be to hex the packet payload and log<br />it directly and when<br /> the process is ready to make a pcap for selected event,<br />it only have to wrap the hexed payload to generate the pcap file.<br /><br />This is probably something that will come along in a new proposed<br />schema but meanwhile i do not see any simple fix since<br />for now barnyard2 spo_database and the ACID schema will probably stay<br />like they are until they are depricated in barnyard2.<br /><br />-elz<br /></blockquote>
<br /><br />
<p>On Aug 15, 2011, <strong>beenph</strong> <beenph@...11827...> wrote:</p>