John,<div><br></div><div>I've read your email three times and i am still not sure what you are asking.  I'd love to help.<br><br><div class="gmail_quote">On Thu, Jun 21, 2012 at 5:29 PM, John Ives <span dir="ltr"><<a href="mailto:jives@...15416..." target="_blank">jives@...15675...6...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</div>I know its been 8 months, but I have been able to limp along using<br>
2.9.1.0 (though my VRT subscription has been getting wasted for a<br>
while), so I haven't pressed this issue, but its now reaching the<br>
point where its becoming a real pain.<br>
<br>
Additionally, in an effort to see if this was a FreeBSD specific<br>
problem brought up a RHEL 6 box with a very basic snort installation<br>
(configure; make; make install) and tried testing again with the<br>
latest version but still get the same problem.  I have just added the<br>
unified2 output to the snort.conf, and have seen some events (so far I<br>
have found it with sid 1201) in just that last few minutes where the<br>
packet appeared in the unified2 file and not in the pcap.<br>
<br>
Any idea what is happening?<br>
<br>
John<br>
<div><div class="h5"><br>
On 10/25/2011 2:05 PM, John Ives wrote:<br>
> Any word on when devel will be able look into this.  Unlike my<br>
> reading of Eoin's problem, the traffic doesn't appear in the<br>
> unified2 file either (I originally thought it did but upon further<br>
> investigation I am not seeing it in either the pcap or the unified2<br>
> files).<br>
><br>
> I have tried upgrading to 2.9.1.2 hoping that would fix the<br>
> problem. At this point I am probably going to need to revert to<br>
> 2.9.1.0 (which worked) to get everything working properly.<br>
><br>
> Yours,<br>
><br>
> John<br>
><br>
> On 10/20/2011 10:50 AM, Joel Esler wrote:<br>
>> Devel is going to look into this, however, they are busy with<br>
>> two big things right now, and when they complete that, I'm sure<br>
>> they'll chime in with some needs to test this out.<br>
><br>
>> Thanks<br>
><br>
>> -- Joel Esler Senior Research Engineer, VRT OpenSource Community<br>
>> Manager Sourcefire<br>
><br>
><br>
>> On Oct 20, 2011, at 1:40 PM, Eoin Miller wrote:<br>
><br>
>>> Hey Joel,<br>
>>><br>
>>><br>
>>> I've been noticing this for a while but kept forgetting to get<br>
>>> around to looking into it more in depth, I figured it was<br>
>>> barnyard2 having an issue, but it does appear to be snorts<br>
>>> logging output. If multiple alerts are firing on the same<br>
>>> frame, Snort doesn't seem to re-log the frame correctly for<br>
>>> multiple alerts:<br>
>>><br>
>>> If we have a test set of 3 rules like below: alert tcp any any<br>
>>> -> any any (msg:"MZ 1"; file_data; content:"MZ"; within:2;<br>
>>> sid:1; rev:1;) alert tcp any any -> any any (msg:"MZ 2";<br>
>>> file_data; content:"MZ"; within:2; sid:2; rev:1;) alert tcp any<br>
>>> any -> any any (msg:"MZ 3"; file_data; content:"MZ"; within:2;<br>
>>> sid:3; rev:1;)<br>
>>><br>
>>> Now we run them against a PCAP of a user downloading an<br>
>>> executable file, it alerts 3 times as expected in our fast<br>
>>> alert output log. However, in the unified2 log, we have the<br>
>>> following at the beginning of the file when we run the<br>
>>> u2spewfoo binary against it:<br>
>>><br>
>>> ---BEGIN--- (Event) sensor id: 0    event id: 1     event<br>
>>> second: 1319130108        event microsecond: 745191 sig id: 3<br>
>>> gen id: 1       revision: 1      classification: 0 priority: 0<br>
>>> ip source: 71.191.147.210       ip destination: 10.181.188.73<br>
>>> src port: 80    dest port: 64916        protocol: 6<br>
>>> impact_flag: 0 blocked: 0<br>
>>><br>
>>> Packet sensor id: 0    event id: 1     event second: 1319130108<br>
>>>  packet second: 1319130108       packet microsecond: 745191<br>
>>> linktype: 1     packet_length: 1514 00 00 5E 00 01 02 00 10 DB<br>
>>> FF 26 00 08 00 45 00  ..^.......&...E. 05 DC 28 A0 40 00 38 06<br>
>>> 71 EC 47 BF 93 D2 0A B5  ..(.@...15420... BC 49 00 50 FD 94 2E<br>
>>> 8F 54 A2 FC 56 2E AC 50 10  .I.P....T..V..P. 00 6C C1 9A 00 00<br>
>>> 48 54 54 50 2F 31 2E 31 20 32  .l....HTTP/1.1 2 30 30 20 4F 4B<br>
>>> 0D 0A 44 61 74 65 3A 20 54 68 75  00 OK..Date: Thu 2C 20 32 30<br>
>>> 20 4F 63 74 20 32 30 31 31 20 31 37  , 20 Oct 2011 17 3A 31 34<br>
>>> 3A 30 39 20 47 4D 54 0D 0A 53 65 72 76  :14:09 GMT..Serv 65 72<br>
>>> 3A 20 41 70 61 63 68 65 2F 32 2E 32 2E 31  er: Apache/2.2.1 34<br>
>>> 20 28 55 62 75 6E 74 75 29 0D 0A 4C 61 73 74  4 (Ubuntu)..Last<br>
>>> 2D 4D 6F 64 69 66 69 65 64 3A 20 54 68 75 2C 20  -Modified:<br>
>>> Thu, 31 38 20 41 75 67 20 32 30 31 31 20 30 30 3A 34  18 Aug<br>
>>> 2011 00:4 32 3A 31 33 20 47 4D 54 0D 0A 45 54 61 67 3A 20  2:13<br>
>>> GMT..ETag: 22 31 38 36 36 30 33 2D 34 30 65 30 30 2D 34 61<br>
>>> "186603-40e00-4a 61 62 63 65 32 34 37 30 32 37 66 22 0D 0A 41<br>
>>> 63  abce247027f"..Ac 63 65 70 74 2D 52 61 6E 67 65 73 3A 20 62<br>
>>> 79 74  cept-Ranges: byt 65 73 0D 0A 43 6F 6E 74 65 6E 74 2D 4C<br>
>>> 65 6E 67  es..Content-Leng 74 68 3A 20 32 36 35 37 32 38 0D 0A<br>
>>> 4B 65 65 70  th: 265728..Keep 2D 41 6C 69 76 65 3A 20 74 69 6D<br>
>>> 65 6F 75 74 3D  -Alive: timeout= 31 35 2C 20 6D 61 78 3D 31 30<br>
>>> 30 0D 0A 43 6F 6E  15, max=100..Con 6E 65 63 74 69 6F 6E 3A 20<br>
>>> 4B 65 65 70 2D 41 6C  nection: Keep-Al 69 76 65 0D 0A 43 6F 6E<br>
>>> 74 65 6E 74 2D 54 79 70  ive..Content-Typ 65 3A 20 61 70 70 6C<br>
>>> 69 63 61 74 69 6F 6E 2F 78  e: application/x 2D 6D 73 64 6F 73<br>
>>> 2D 70 72 6F 67 72 61 6D 0D 0A  -msdos-program.. 0D 0A 4D 5A 90<br>
>>> 00 03 00 00 00 04 00 00 00 FF FF  ..MZ............ 00 00 B8 00<br>
>>> 00 00 00 00 00 00 40 00 00 00 00 00  ..........@...568... 00 00 00<br>
>>> 00 00 00 00 00 00 00 00 00 00 00 00 00  ................ 00 00<br>
>>> 00 00 00 00 00 00 00 00 00 00 00 00 D8 00  ................ 00<br>
>>> 00 0E 1F BA 0E 00 B4 09 CD 21 B8 01 4C CD 21  ..........!..L.!<br>
>>> 54 68 69 73 20 70 72 6F 67 72 61 6D 20 63 61 6E  This program<br>
>>> can 6E 6F 74 20 62 65 20 72 75 6E 20 69 6E 20 44 4F  not be run<br>
>>> in DO 53 20 6D 6F 64 65 2E 0D 0D 0A 24 00 00 00 00 00  S<br>
>>> mode....$..... ---SNIP---<br>
>>><br>
>>><br>
>>><br>
>>> After this alert and packet, there are 11 more subsequent<br>
>>> packets logged. However, the other two events have NO packets<br>
>>> with them as we can see below from the end of the output:<br>
>>><br>
>>><br>
>>> ---SNIP--- E0 8B 00 85 C0 74 02 FF D0 83 45 E0 04 EB E6 C7<br>
>>> .....t....E..... 45 FC FE FF FF FF E8 20 00 00 E...... ..<br>
>>><br>
>>> (Event) sensor id: 0    event id: 2     event second:<br>
>>> 1319130108 event microsecond: 745191 sig id: 2       gen id: 1<br>
>>> revision: 1      classification: 0 priority: 0     ip source:<br>
>>> 71.191.147.210       ip destination: 10.181.188.73 src port:<br>
>>> 80 dest port: 64916        protocol: 6     impact_flag: 0<br>
>>> blocked: 0<br>
>>><br>
>>> (Event) sensor id: 0    event id: 3     event second:<br>
>>> 1319130108 event microsecond: 745191 sig id: 1       gen id: 1<br>
>>> revision: 1      classification: 0 priority: 0     ip source:<br>
>>> 71.191.147.210       ip destination: 10.181.188.73 src port:<br>
>>> 80 dest port: 64916        protocol: 6     impact_flag: 0<br>
>>> blocked: 0 ---END---<br>
>>><br>
>>><br>
>>> -- Eoin<br>
>>><br>
>>><br>
><br>
><br>
><br>
>> ------------------------------------------------------------------------------<br>
><br>
>><br>
><br>
> The demand for IT networking professionals continues to grow, and<br>
> the<br>
>> demand for specialized networking skills is growing even more<br>
>> rapidly. Take a complimentary Learning@...15421... Self-Assessment and<br>
>> learn about Cisco certifications, training, and career<br>
>> opportunities. <a href="http://p.sf.net/sfu/cisco-dev2dev" target="_blank">http://p.sf.net/sfu/cisco-dev2dev</a><br>
><br>
><br>
><br>
>> _______________________________________________ Snort-users<br>
>> mailing list <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a> Go to this URL to<br>
>> change user options or unsubscribe:<br>
>> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
>> Snort-users list archive:<br>
>> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
>> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the<br>
>> latest Snort news!<br>
><br>
><br>
><br>
> ------------------------------------------------------------------------------<br>
><br>
><br>
The demand for IT networking professionals continues to grow, and the<br>
> demand for specialized networking skills is growing even more<br>
> rapidly. Take a complimentary Learning@...15421... Self-Assessment and<br>
> learn about Cisco certifications, training, and career<br>
> opportunities. <a href="http://p.sf.net/sfu/cisco-dev2dev" target="_blank">http://p.sf.net/sfu/cisco-dev2dev</a><br>
> _______________________________________________ Snort-users mailing<br>
> list <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a> Go to this URL to change<br>
> user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the<br>
> latest Snort news!<br>
><br>
<br>
- --<br>
- -------------------------------------------------------------------------<br>
John Ives<br>
System & Network Security                           Phone <a href="tel:%28510%29%20229-8676" value="+15102298676">(510) 229-8676</a><br>
University of California, Berkeley<br>
- -------------------------------------------------------------------------<br>
<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with Mozilla - <a href="http://enigmail.mozdev.org/" target="_blank">http://enigmail.mozdev.org/</a><br>
<br>
</div></div>iQEcBAEBAgAGBQJP45IfAAoJEJkidK6qbywsyrEIAI/gdhWunfk1nPPVBv80OeIV<br>
LTy22O5yCQp2YG4J4EtgZDjPuqrkTIiOlcau/SRowhAusQKhqLy6hD2z0/dAMPuF<br>
gvdkFos2Z6ZRzqNzHIEm2N8xjOCD5JEtcbPP823RQqL08g7zfb5JVP8xIQKlqKGW<br>
a7XSpGFwVQqQA4ATa1MT0XajtjcqtVS36NXoGaAtjiU0x5BFQGUHnk7/5YNVXVUB<br>
sWavjUPgDNmqxiGwfwpjt7XvbA1rFR4ZRQ3KmV+afOJLUE3aAYVOos7jDnCyOJuM<br>
IUnxivigOWCEcgI5ti25WMzCeFW13by82I2W8s/L07nHBuBazTVFOpD1j2bDnk0=<br>
=oCYK<br>
-----END PGP SIGNATURE-----<br>
<br>
------------------------------------------------------------------------------<br>
Live Security Virtual Conference<br>
Exclusive live event will cover all the ways today's security and<br>
threat landscape has changed and how IT managers can respond. Discussions<br>
will include endpoint security, mobile security and the latest in malware<br>
threats. <a href="http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/" target="_blank">http://www.accelacomm.com/jaw/sfrnl04242012/114/50122263/</a><br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" target="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div><br><br>
</div>