<div dir="ltr">BTW -- I know the pcap reads "fixed_http_traffic_test.pcap".  I have a system that corrects checksums when I put a pcap in my test directory.  Here is the same test ran with your pcap:<div><br></div>
<div><div>##### http_traffic_test.pcap #####</div><div><span class="" style="white-space:pre">        </span>[1:1000010:1] NIRT_GET_TEST (alerts: 41)</div><div><span class="" style="white-space:pre">   </span>[129:18:1] Data sent on stream after TCP Reset received (alerts: 1) (dropped)</div>
<div><span class="" style="white-space:pre">    </span>[120:3:1] (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE (alerts: 1) (dropped)</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Sun, Feb 10, 2013 at 11:01 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">CC'ing Snort-users list, as that list is more appropriate for engine issues.  Do you have any thresholds in place?<div><br></div><div>I ran it against my Snort install with the stock VRT snort.conf and I got:</div>

<div><br></div><div><div><div>##### fixed_http_traffic_test.pcap #####</div><div><span style="white-space:pre-wrap">    </span>[1:1000010:1] NIRT_GET_TEST (alerts: 41)</div><div><span style="white-space:pre-wrap"> </span>[129:18:1] Data sent on stream after TCP Reset received (alerts: 1) (dropped)</div>

<div><span style="white-space:pre-wrap">  </span>[120:3:1] (http_inspect) NO CONTENT-LENGTH OR TRANSFER-ENCODING IN HTTP RESPONSE (alerts: 1) (dropped)</div></div><div><br></div><div><a href="http://www.snort.org/vrt/snort-conf-configurations/" target="_blank">http://www.snort.org/vrt/snort-conf-configurations/</a><br>

</div><div><br></div><div><span style="font-size:12px;font-family:'Lucida Grande'">--</span><br><span style="font-size:12px;font-family:'Lucida Grande'"><b>Joel Esler</b></span><br>
<span style="font-size:12px;font-family:'Lucida Grande'">Senior Research Engineer, VRT</span><br><span style="font-size:12px;font-family:'Lucida Grande'">OpenSource Community Manager</span><br>
<span style="font-size:12px;font-family:'Lucida Grande'">Sourcefire</span><br></div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote"><div><div class="h5">On Fri, Feb 8, 2013 at 1:49 PM, Dmitri <span dir="ltr"><<a href="mailto:shadow000@...11827..." target="_blank">shadow000@...11827...</a>></span> wrote:<br>

</div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Anybody had any weird issues with http preprocessor in snort or sourcefire?<div>
<br></div><div>Been breaking my head on this for the past couple of weeks. At this point I am just testing these two:<br>

</div><div><br><div><div>alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NIRT_POST_TEST"; content:"POST"; http_method; nocase; classtype:web-application-attack; rev:1; sid:1000009; )</div><div>
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NIRT_GET_TEST"; content:"GET"; http_method; nocase; classtype:web-application-attack; rev:1; sid:1000010; )</div></div><div><br></div><div>here's what I am getting:</div>


<div><div>root@...15343...:/etc/snort# snort -c ./snort.conf -A console -q -r /root/http_traffic_test.pcap </div><div>02/06-23:28:13.697928  [**] [1:1000010:1] NIRT_GET_TEST [**] [Classification: Web Application Attack] [Priority: 1] {TCP} <a href="http://192.168.107.132:49750" target="_blank">192.168.107.132:49750</a> -> <a href="http://213.186.33.2:80" target="_blank">213.186.33.2:80</a></div>


</div><div>root@...15343...:/etc/snort#<br></div><div><br></div><div>As we can see fires just once, however there are tons of GET requests in the pcap.(pcap and snort.conf are attached)</div><div><br></div><div>Any ideas or suggestions?</div>


<div><br></div><div><br></div><div><br></div><div><div>   ,,_     -*> Snort! <*-</div><div>  o"  )~   Version 2.9.4 GRE (Build 40) </div><div>   ''''    By Martin Roesch & The Snort Team: <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a></div>


<div>           Copyright (C) 1998-2012 Sourcefire, Inc., et al.</div><div>           Using libpcap version 1.0.0</div><div>           Using PCRE version: 8.32 2012-11-30</div><div>           Using ZLIB version: 1.2.3.3</div>


<div><br></div></div></div></div>
<br></div></div>_______________________________________________<br>
Emerging-sigs mailing list<br>
<a href="mailto:Emerging-sigs@...15591..." target="_blank">Emerging-sigs@...15591...</a><br>
<a href="http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs" target="_blank">http://lists.emergingthreats.net/mailman/listinfo/emerging-sigs</a><br>
<br>
Support Emerging Threats! Subscribe to Emerging Threats Pro <a href="http://www.emergingthreatspro.com" target="_blank">http://www.emergingthreatspro.com</a><br>
The ONLY place to get complete premium rulesets for all versions of Suricata and Snort 2.4.0 through Current!<span class="HOEnZb"><font color="#888888"><br></font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><br>
<br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div>
<div>OpenSource Community Manager</div><div>Sourcefire</div><br>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Joel Esler</div><div>Senior Research Engineer, VRT</div><div>OpenSource Community Manager</div><div>Sourcefire</div><br>
</div>