<div dir="ltr">CC'ing Snort-users list, as that list is more appropriate for engine issues.  Do you have any thresholds in place?<div><br></div><div style>I ran it against my Snort install with the stock VRT snort.conf and I got:</div>
<div style><br></div><div style><div><div>##### fixed_http_traffic_test.pcap #####</div><div><span class="" style="white-space:pre">  </span>[1:1000010:1] NIRT_GET_TEST (alerts: 41)</div><div><span class="" style="white-space:pre">   </span>[129:18:1] Data sent on stream after TCP Reset received (alerts: 1) (dropped)</div>
<div><span class="" style="white-space:pre">    </span>[120:3:1] (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE (alerts: 1) (dropped)</div></div><div><br></div><div><a href="http://www.snort.org/vrt/snort-conf-configurations/">http://www.snort.org/vrt/snort-conf-configurations/</a><br>
</div><div><br></div><div style><span style="font-size:12px;font-family:'Lucida Grande';color:rgb(0,0,0)">--</span><br><span style="font-size:12px;font-family:'Lucida Grande';color:rgb(0,0,0)"><b>Joel Esler</b></span><br>
<span style="font-size:12px;font-family:'Lucida Grande';color:rgb(0,0,0)">Senior Research Engineer, VRT</span><br><span style="font-size:12px;font-family:'Lucida Grande';color:rgb(0,0,0)">OpenSource Community Manager</span><br>
<span style="font-size:12px;font-family:'Lucida Grande';color:rgb(0,0,0)">Sourcefire</span><br></div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Feb 8, 2013 at 1:49 PM, Dmitri <span dir="ltr"><<a href="mailto:shadow000@...11827..." target="_blank">shadow000@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Anybody had any weird issues with http preprocessor in snort or sourcefire?<div><br></div><div>Been breaking my head on this for the past couple of weeks. At this point I am just testing these two:<br>

</div><div><br><div><div>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NIRT_POST_TEST"; content:"POST"; http_method; nocase; classtype:web-application-attack; rev:1; sid:1000009; )</div><div>
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NIRT_GET_TEST"; content:"GET"; http_method; nocase; classtype:web-application-attack; rev:1; sid:1000010; )</div></div><div><br></div><div>here's what I am getting:</div>

<div><div>root@...15343...:/etc/snort# snort -c ./snort.conf -A console -q -r /root/http_traffic_test.pcap </div><div>02/06-23:28:13.697928  [**] [1:1000010:1] NIRT_GET_TEST [**] [Classification: Web Application Attack] [Priority: 1] {TCP} <a href="http://192.168.107.132:49750" target="_blank">192.168.107.132:49750</a> -> <a href="http://213.186.33.2:80" target="_blank">213.186.33.2:80</a></div>

</div><div>root@...15343...:/etc/snort#<br></div><div><br></div><div>As we can see fires just once, however there are tons of GET requests in the pcap.(pcap and snort.conf are attached)</div><div><br></div><div>Any ideas or suggestions?</div>

<div><br></div><div><br></div><div><br></div><div><div>   ,,_     -*> Snort! <*-</div><div>  o"  )~   Version 2.9.4 GRE (Build 40) </div><div>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a></div>

<div>           Copyright (C) 1998-2012 Sourcefire, Inc., et al.</div><div>           Using libpcap version 1.0.0</div><div>           Using PCRE version: 8.32 2012-11-30</div><div>           Using ZLIB version: 1.2.3.3</div>

<div><br></div></div></div></div>
<br>_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@...15591...">Emerging-sigs@...15591...</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for all versions of Suricata and Snort 2.4.0 through Current!<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div>
<div>OpenSource Community Manager</div><div>Sourcefire</div><br>
</div>