<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Arial; font-size: 12pt; color: #000000'><P>Hi Rmkml, Russ,</P>
<P> </P>
<P>I think I resolved the issue after a number of trials. The issue was with my deployment. I was routing the traffic instead of switching. </P>
<P> </P>
<P>Here is a more elaborate description of my deployment.</P>
<P>A <-> eth0(192.168.100.1)<.->eth1(192.168.200.1)<->B </P>
<P>A generates HTTP traffic and routes it to eth0 (A gateway is eth0)</P>
<P>B responds to HTTP requests through its gateway eth1.</P>
<P>Snort runs on Ubuntu box and has eth0 and eth1 as its incoming and outgoing interfaces.</P>
<P> </P>
<P>When I changed my deployment to switching instead of routing traffic, it works perfectly. Th packets that snort processes are exactly what is transmitted through the snort box. </P>
<P> </P>
<P>In my old setup, it looks received and transmitted packets are seen as different by snort as it packets are modified when routed.</P>
<P> </P>
<P>Thank you!!! </P>
<P> </P>
<P>Jorda.</P>
<P>
<HR id=zwchr>

<P></P>
<P><B>From: </B>"rmkml" <rmkml@...1855...><BR><B>To: </B>jorbru30@...979...5068...<BR><B>Cc: </B>"Russ Combs" <rcombs@...1935...>, snort-users@...2902...ists.sourceforge.net, rmkml@...1855...<BR><B>Sent: </B>Wednesday, June 27, 2012 3:59:39 PM<BR><B>Subject: </B>Re: [Snort-users] snot processes packets twice?<BR><BR>Hi,<BR>Can you try with last snort stable v2.9.2.3 and daq v0.6.2 ?<BR>or latest snort release candidate (v2.9.3_rc) and daq v1.1.1 ?<BR>Can you run daq dump ?<BR>Regards<BR>Rmkml<BR><BR><BR><BR>On Wed, 27 Jun 2012, jorbru30@...5068... wrote:<BR><BR>> Thank you Russ for the tip.<BR>> I checked for any bridge but there is none.<BR>> mysnort@...424...:~/pcaps$ brctl show<BR>> bridge name bridge id  STP enabled interfaces<BR>> I captured pcaps at eth0 and eth1 and each show about 25,000 packets.<BR>> I also added a print statement prior to "ProcessPacket" in snort.c to verify snort is indeed inspecting duplicate packets. My findings is yes, it does inspect about 50,000 packets.<BR>> I am still trying to figure out why snort checks packets from both interface and how to fix the issue.<BR>> I appreciate any help.<BR>> Jorda. <BR>> <BR>> ____________________________________________________________________________________________________________________________________________________________________________________________________________________________<BR>> <BR>> From: "Russ Combs" <rcombs@...1935...><BR>> To: jorbru30@...5068...<BR>> Cc: snort-users@lists.sourceforge.net<BR>> Sent: Wednesday, June 27, 2012 10:56:47 AM<BR>> Subject: Re: [Snort-users] snot processes packets twice?<BR>> <BR>> Not sure why you are seeing double; any chance you bridged eth0 and eth1?<BR>> <BR>> On Wed, Jun 27, 2012 at 1:18 AM, <jorbru30@...5068...> wrote:<BR>><BR>>       Hi,<BR>>       I am running snort version 2.9.1 as IPS using the following command.<BR>>       /usr/local/snort/bin/snort --daq afpacket -i eth0:eth1 -Q --daq-dir=/usr/local/lib/daq -l /var/log/snort -c /usr/local/snort/etc/snort.conf<BR>>       I am sending packets from a traffic generator tool which acts as a sender and receiver.<BR>>             Traffic generator(TGS)<-> eth0 <->eth1 <-> Traffic generator(TGR)<BR>>       About 25,000 packets are seen at eth0 (packets sent from TGS and responses(mostly ack packets) from TGR).  The same set of packets are seen at eth1.<BR>>       After I stopped snort with ctr-c, snort displays ..."Snort processed 50531 packets".<BR>>       I was expecting snort to process incoming packets (packets from eth0 to eth1) and outgoing packets (packets from eth1 to eth0) which is about 25,000 but it processes double # of packets.<BR>>       Please help me understand why snort process packets twice.<BR>>       Thank you!<BR>>       Jorda.</P></div></body></html>