<div>Hey, I have a question about buffering of packets. </div><div><br></div><div>What I want to do is that I want Snort to check for JPEG files in the network stream, which is easy because I ask Snort to look for the JPEG header. Then after Snort have detected a JPEG-file, I want Snort to store the JPEG file in a buffer (i.e. not write it to disk, only store it in RAM). Then I'm going to check the JPEG-file for bit patterns while Snort still have the file stored in memory. If I can't find my own watermarks Snort will send the packet as normal, if not I want Snort to drop the packet. The reason why I don't want to store the JPEG file to a hard drive is for efficiency purposes. </div>
<div><br>I'm currently experimenting with the idea and I'm wondering if it is possible to pull off? I heard something about Snort being able to quarantine packets, but I'm not sure if I would be able to access those packets if they are quarantined.<br>
</div><div><br></div><div><br></div><div><br></div><div>Thanks in advance<br>Knut<br></div><div><br></div>