<div dir="ltr">Martinez, as Joel already mentioned, we'll want to see your Snort configuration. Shutdown stats would also be useful, but perfmon data would be better; if those can be provided.<div><br></div><div>You mentioned that OpenBSD configured the network sysctl parameters "on the fly"; could you direct us to some documentation about this?</div>
<div><br></div><div>You also mentioned that Snort was listening on em3, however the startup information in your email indicates that Snort is listening on em4, could you elaborate on this setup?</div><div><br></div><div><br>
</div><div>Regarding Suricata, I personally do not have any experience in deploying or configuring it. That said, are you using, relatively, the same configurations? (e.g., any rules enabled, acquiring packets via libpcap, etc..)</div>
<div><br></div><div style>Also, why are "tcp.reassembly_gap" and "tcp.invalid_checksum" relevant?</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Jun 5, 2013 at 11:06 AM, Joel Esler <span dir="ltr"><<a href="mailto:jesler@...1935..." target="_blank">jesler@...1935...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Can you post your snort.conf somewhere?<br>
<div><div class="h5"><br>
<br>
On May 31, 2013, at 2:51 AM, C. L. Martinez <<a href="mailto:carlopmart@...11827...">carlopmart@...11827...</a>> wrote:<br>
<br>
> On Thu, May 30, 2013 at 12:45 PM, C. L. Martinez <<a href="mailto:carlopmart@...11827...">carlopmart@...11827...</a>> wrote:<br>
>> Hi all,<br>
>><br>
>> According to the following stats:<br>
>><br>
>> May 30 11:46:22 nsm01 snort[30096]:<br>
>> ===============================================================================<br>
>> May 30 11:46:22 nsm01 snort[30096]: Packet Performance Summary:<br>
>> May 30 11:46:22 nsm01 snort[30096]:    max packet time       : 10000 usecs<br>
>> May 30 11:46:22 nsm01 snort[30096]:    packet events         : 654<br>
>> May 30 11:46:22 nsm01 snort[30096]:    avg pkt time          : 27.1384 usecs<br>
>> May 30 11:46:22 nsm01 snort[30096]: Rule Performance Summary:<br>
>> May 30 11:46:22 nsm01 snort[30096]:    max rule time         : 4096 usecs<br>
>> May 30 11:46:22 nsm01 snort[30096]:    rule events           : 20<br>
>> May 30 11:46:22 nsm01 snort[30096]:    avg rule time         : 1.046 usecs<br>
>> May 30 11:46:22 nsm01 snort[30096]:<br>
>> ===============================================================================<br>
>> May 30 11:46:22 nsm01 snort[30096]: Packet I/O Totals:<br>
>> May 30 11:46:22 nsm01 snort[30096]:    Received:     69971576<br>
>> May 30 11:46:22 nsm01 snort[30096]:    Analyzed:     22427618 ( 32.052%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:     Dropped:     41532168 ( 37.247%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:    Filtered:            0 (  0.000%)<br>
>> May 30 11:46:22 nsm01 snort[30096]: Outstanding:     47543958 ( 67.948%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:    Injected:            0<br>
>> May 30 11:46:22 nsm01 snort[30096]:<br>
>> ===============================================================================<br>
>> May 30 11:46:22 nsm01 snort[30096]: Breakdown by protocol (includes<br>
>> rebuilt packets):<br>
>> May 30 11:46:22 nsm01 snort[30096]:         Eth:     22436767 (100.000%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:        VLAN:            0 (  0.000%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:         IP4:     22436767 (100.000%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:        Frag:           12 (  0.000%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:        ICMP:       110634 (  0.493%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:         UDP:       752816 (  3.355%)<br>
>> May 30 11:46:22 nsm01 snort[30096]:         TCP:     19433478 ( 86.614%)<br>
>><br>
>> using snort under OpenBSD 5.3 doesn't returns good performance. Host<br>
>> is a Intel(R) Xeon(R) CPU E5620 @ 2.40GHz, with 8 GiB RAM and four<br>
>> e1000 interfaces.<br>
>><br>
>> In this sensor, I only use so_rules:<br>
>><br>
>> # dynamic library rules<br>
>> # include $SO_RULE_PATH/bad-traffic.rules<br>
>> # include $SO_RULE_PATH/chat.rules<br>
>> include $SO_RULE_PATH/dos.rules<br>
>> include $SO_RULE_PATH/exploit.rules<br>
>> # include $SO_RULE_PATH/icmp.rules<br>
>> # include $SO_RULE_PATH/imap.rules<br>
>> include $SO_RULE_PATH/misc.rules<br>
>> include $SO_RULE_PATH/multimedia.rules<br>
>> include $SO_RULE_PATH/netbios.rules<br>
>> # include $SO_RULE_PATH/nntp.rules<br>
>> include $SO_RULE_PATH/p2p.rules<br>
>> include $SO_RULE_PATH/smtp.rules<br>
>> # include $SO_RULE_PATH/snmp.rules<br>
>> include $SO_RULE_PATH/specific-threats.rules<br>
>> include $SO_RULE_PATH/web-activex.rules<br>
>> include $SO_RULE_PATH/web-client.rules<br>
>> include $SO_RULE_PATH/web-iis.rules<br>
>> include $SO_RULE_PATH/web-misc.rules<br>
>><br>
>> and monitored network is a 1GiB network.<br>
>><br>
>> Any ideas why??<br>
><br>
><br>
> More info:<br>
><br>
><br>
> top:<br>
> load averages:  0.69,  0.65,  0.53<br>
> 31 processes: 30 idle, 1 on processor<br>
> CPU0 states:  2.8% user,  0.0% nice,  0.4% system, 20.4% interrupt, 76.4% idle<br>
> CPU1 states:  2.2% user,  0.0% nice,  0.8% system,  0.0% interrupt, 97.0% idle<br>
> CPU2 states:  3.0% user,  0.0% nice,  3.4% system,  0.0% interrupt, 93.6% idle<br>
> CPU3 states:  6.0% user,  0.0% nice,  5.0% system,  0.0% interrupt, 89.0% idle<br>
> Memory: Real: 587M/2947M act/tot Free: 5012M Cache: 2213M Swap: 0K/6142M<br>
><br>
>  PID USERNAME PRI NICE  SIZE   RES STATE     WAIT      TIME    CPU COMMAND<br>
> 14655 root       4    0  393M  183M sleep/1   bpf       8:44 14.26% snort<br>
> 25669 root       4    0 1132K 1740K sleep/2   bpf       0:06  3.52% daemonlogger<br>
><br>
> systat ifstat (snort process is listening in em3)<br>
><br>
>    3 users    Load 0.89 0.71 0.56                     Fri May 31 06:23:13 2013<br>
><br>
> IFACE            STATE  DESC<br>
>                     IPKTS   IBYTES    IERRS    OPKTS   OBYTES<br>
> OERRS    COLLS<br>
> em0              up<br>
>                         2      132        0        0      261<br>
> 0        0<br>
> em1              up<br>
>                         0      126        0        0      131<br>
> 0        0<br>
> em2              up<br>
>                     10348  3425952        0        0        0<br>
> 0        0<br>
> em3              up<br>
>                     10346  3425044        0        0        0<br>
> 0        0<br>
><br>
><br>
> systat mbufs<br>
><br>
><br>
> IFACE             LIVELOCKS  SIZE ALIVE   LWM   HWM   CWM<br>
> System                    0   256   185          56<br>
>                               2k   171         435<br>
> lo0<br>
> em0                            2k     6     4   256     6<br>
> em1                            2k     6     4   256     4<br>
> em2                            2k    66     4   256    66<br>
> em3                            2k    65     4   256    65<br>
><br>
><br>
> Stats with ALL so_rules disabled (5 min, more or less):<br>
><br>
> Rule application order:<br>
> activation->dynamic->pass->drop->sdrop->reject->alert->log<br>
> Verifying Preprocessor Configurations!<br>
> ICMP tracking disabled, no ICMP sessions allocated<br>
> IP tracking disabled, no IP sessions allocated<br>
> 0 out of 1024 flowbits in use.<br>
><br>
> Packet Performance Monitor Config:<br>
>  ticks per usec  : 2417 ticks<br>
>  max packet time : 10000 usecs<br>
>  packet action   : fastpath-expensive-packets<br>
>  packet logging  : log<br>
>  debug-pkts      : disabled<br>
><br>
> Rule Performance Monitor Config:<br>
>  ticks per usec  : 2417 ticks<br>
>  max rule time   : 4096 usecs<br>
>  rule action     : suspend-expensive-rules<br>
>  rule threshold  : 5<br>
>  suspend timeout : 10 secs<br>
>  rule logging    : log<br>
> pcap DAQ configured to passive.<br>
> Acquiring network traffic from "em4".<br>
> Reload thread starting...<br>
> Reload thread started, thread 0xc100dbb8f00 (18056)<br>
> Decoding Ethernet<br>
><br>
>        --== Initialization Complete ==--<br>
><br>
>   ,,_     -*> Snort! <*-<br>
>  o"  )~   Version 2.9.4.6 GRE (Build 73)<br>
>   ''''    By Martin Roesch & The Snort Team:<br>
> <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>
>           Copyright (C) 1998-2013 Sourcefire, Inc., et al.<br>
>           Using libpcap version 1.3.0<br>
>           Using PCRE version: 8.31 2012-07-06<br>
>           Using ZLIB version: 1.2.3<br>
><br>
>           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.17  <Build 18><br>
>           Rules Object: web-misc  Version 1.0  <Build 1><br>
>           Rules Object: web-iis  Version 1.0  <Build 1><br>
>           Rules Object: web-client  Version 1.0  <Build 1><br>
>           Rules Object: web-activex  Version 1.0  <Build 1><br>
>           Rules Object: specific-threats  Version 1.0  <Build 1><br>
>           Rules Object: snmp  Version 1.0  <Build 1><br>
>           Rules Object: smtp  Version 1.0  <Build 1><br>
>           Rules Object: p2p  Version 1.0  <Build 1><br>
>           Rules Object: nntp  Version 1.0  <Build 1><br>
>           Rules Object: netbios  Version 1.0  <Build 1><br>
>           Rules Object: multimedia  Version 1.0  <Build 1><br>
>           Rules Object: misc  Version 1.0  <Build 1><br>
>           Rules Object: imap  Version 1.0  <Build 1><br>
>           Rules Object: icmp  Version 1.0  <Build 1><br>
>           Rules Object: exploit  Version 1.0  <Build 1><br>
>           Rules Object: dos  Version 1.0  <Build 1><br>
>           Rules Object: chat  Version 1.0  <Build 1><br>
>           Rules Object: bad-traffic  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_DNP3  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_GTP  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_SIP  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_SDF  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3><br>
>           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4><br>
>           Preprocessor Object: SF_DNS  Version 1.1  <Build 4><br>
>           Preprocessor Object: SF_SSH  Version 1.1  <Build 3><br>
>           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9><br>
>           Preprocessor Object: SF_IMAP  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_POP  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13><br>
> Commencing packet processing (pid=18056)<br>
> ^C*** Caught Int-Signal<br>
> ===============================================================================<br>
> Run time for packet processing was 421.51287 seconds<br>
> Snort processed 630885 packets.<br>
> Snort ran for 0 days 0 hours 7 minutes 1 seconds<br>
>   Pkts/min:        90126<br>
>   Pkts/sec:         1498<br>
> ===============================================================================<br>
> Packet Performance Summary:<br>
>   max packet time       : 10000 usecs<br>
>   packet events         : 0<br>
>   avg pkt time          : 5.9247 usecs<br>
> Rule Performance Summary:<br>
>   max rule time         : 4096 usecs<br>
>   rule events           : 0<br>
> ===============================================================================<br>
> Packet I/O Totals:<br>
>   Received:      1863847<br>
>   Analyzed:       630885 ( 33.849%)<br>
>    Dropped:       601452 ( 24.397%)<br>
>   Filtered:            0 (  0.000%)<br>
> Outstanding:      1232962 ( 66.151%)<br>
>   Injected:            0<br>
> ===============================================================================<br>
><br>
> Not really good numbers ....<br>
><br>
><br>
> Stats with only misc.rules and multimedia.rules (5 min, more or less):<br>
><br>
> Rule application order:<br>
> activation->dynamic->pass->drop->sdrop->reject->alert->log<br>
> Verifying Preprocessor Configurations!<br>
> ICMP tracking disabled, no ICMP sessions allocated<br>
> IP tracking disabled, no IP sessions allocated<br>
> WARNING: flowbits key 'file.vqf' is checked but not ever set.<br>
> WARNING: flowbits key 'file.wmp_playlist' is checked but not ever set.<br>
> 8 out of 1024 flowbits in use.<br>
><br>
> [ Port Based Pattern Matching Memory ]<br>
> +- [ Aho-Corasick Summary ] -------------------------------------<br>
> | Storage Format    : Full-Q<br>
> | Finite Automaton  : DFA<br>
> | Alphabet Size     : 256 Chars<br>
> | Sizeof State      : Variable (1,2,4 bytes)<br>
> | Instances         : 27<br>
> |     1 byte states : 26<br>
> |     2 byte states : 1<br>
> |     4 byte states : 0<br>
> | Characters        : 1562<br>
> | States            : 1446<br>
> | Transitions       : 16926<br>
> | State Density     : 4.6%<br>
> | Patterns          : 90<br>
> | Match States      : 88<br>
> | Memory (KB)       : 562.24<br>
> |   Pattern         : 10.08<br>
> |   Match Lists     : 19.52<br>
> |   DFA<br>
> |     1 byte states : 261.06<br>
> |     2 byte states : 225.67<br>
> |     4 byte states : 0.00<br>
> +----------------------------------------------------------------<br>
> [ Number of patterns truncated to 20 bytes: 4 ]<br>
><br>
> Packet Performance Monitor Config:<br>
>  ticks per usec  : 2422 ticks<br>
>  max packet time : 10000 usecs<br>
>  packet action   : fastpath-expensive-packets<br>
>  packet logging  : log<br>
>  debug-pkts      : disabled<br>
><br>
> Rule Performance Monitor Config:<br>
>  ticks per usec  : 2422 ticks<br>
>  max rule time   : 4096 usecs<br>
>  rule action     : suspend-expensive-rules<br>
>  rule threshold  : 5<br>
>  suspend timeout : 10 secs<br>
>  rule logging    : log<br>
> pcap DAQ configured to passive.<br>
> Acquiring network traffic from "em4".<br>
> Reload thread starting...<br>
> Reload thread started, thread 0x4aa997dc00 (32237)<br>
> Decoding Ethernet<br>
><br>
>        --== Initialization Complete ==--<br>
><br>
>   ,,_     -*> Snort! <*-<br>
>  o"  )~   Version 2.9.4.6 GRE (Build 73)<br>
>   ''''    By Martin Roesch & The Snort Team:<br>
> <a href="http://www.snort.org/snort/snort-team" target="_blank">http://www.snort.org/snort/snort-team</a><br>
>           Copyright (C) 1998-2013 Sourcefire, Inc., et al.<br>
>           Using libpcap version 1.3.0<br>
>           Using PCRE version: 8.31 2012-07-06<br>
>           Using ZLIB version: 1.2.3<br>
><br>
>           Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.17  <Build 18><br>
>           Rules Object: web-misc  Version 1.0  <Build 1><br>
>           Rules Object: web-iis  Version 1.0  <Build 1><br>
>           Rules Object: web-client  Version 1.0  <Build 1><br>
>           Rules Object: web-activex  Version 1.0  <Build 1><br>
>           Rules Object: specific-threats  Version 1.0  <Build 1><br>
>           Rules Object: snmp  Version 1.0  <Build 1><br>
>           Rules Object: smtp  Version 1.0  <Build 1><br>
>           Rules Object: p2p  Version 1.0  <Build 1><br>
>           Rules Object: nntp  Version 1.0  <Build 1><br>
>           Rules Object: netbios  Version 1.0  <Build 1><br>
>           Rules Object: multimedia  Version 1.0  <Build 1><br>
>           Rules Object: misc  Version 1.0  <Build 1><br>
>           Rules Object: imap  Version 1.0  <Build 1><br>
>           Rules Object: icmp  Version 1.0  <Build 1><br>
>           Rules Object: exploit  Version 1.0  <Build 1><br>
>           Rules Object: dos  Version 1.0  <Build 1><br>
>           Rules Object: chat  Version 1.0  <Build 1><br>
>           Rules Object: bad-traffic  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_DNP3  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_GTP  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_SIP  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_SDF  Version 1.1  <Build 1><br>
>           Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3><br>
>           Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4><br>
>           Preprocessor Object: SF_DNS  Version 1.1  <Build 4><br>
>           Preprocessor Object: SF_SSH  Version 1.1  <Build 3><br>
>           Preprocessor Object: SF_SMTP  Version 1.1  <Build 9><br>
>           Preprocessor Object: SF_IMAP  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_POP  Version 1.0  <Build 1><br>
>           Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13><br>
> Commencing packet processing (pid=32237)<br>
> ^C*** Caught Int-Signal<br>
> ===============================================================================<br>
> Run time for packet processing was 368.552024 seconds<br>
> Snort processed 643495 packets.<br>
> Snort ran for 0 days 0 hours 6 minutes 8 seconds<br>
>   Pkts/min:       107249<br>
>   Pkts/sec:         1748<br>
> ===============================================================================<br>
> Packet Performance Summary:<br>
>   max packet time       : 10000 usecs<br>
>   packet events         : 0<br>
>   avg pkt time          : 8.95128 usecs<br>
> Rule Performance Summary:<br>
>   max rule time         : 4096 usecs<br>
>   rule events           : 0<br>
>   avg rule time         : 1.96408 usecs<br>
> ===============================================================================<br>
> Packet I/O Totals:<br>
>   Received:      2121798<br>
>   Analyzed:       643495 ( 30.328%)<br>
>    Dropped:       618918 ( 22.582%)<br>
>   Filtered:            0 (  0.000%)<br>
> Outstanding:      1478303 ( 69.672%)<br>
>   Injected:            0<br>
> ===============================================================================<br>
><br>
> About tunning sysctl options, if I am not wrong, OpenBSD tunes them<br>
> "on the fly" according to network load.<br>
><br>
> And more info: I have installed suricata in this host also to do more<br>
> tests, and suricata returns me best perfomance without losing many<br>
> packets:<br>
><br>
> -------------------------------------------------------------------<br>
> Counter                   | TM Name                   | Value<br>
> -------------------------------------------------------------------<br>
> capture.kernel_packets    | RxPcapem51                | 3052575199<br>
> capture.kernel_drops      | RxPcapem51                | 143259<br>
> capture.kernel_ifdrops    | RxPcapem51                | 0<br>
> decoder.pkts              | RxPcapem51                | 19561319<br>
> decoder.bytes             | RxPcapem51                | 15561225326<br>
> decoder.ipv4              | RxPcapem51                | 19561319<br>
> decoder.ipv6              | RxPcapem51                | 0<br>
> decoder.ethernet          | RxPcapem51                | 19561319<br>
> decoder.raw               | RxPcapem51                | 0<br>
> decoder.sll               | RxPcapem51                | 0<br>
> decoder.tcp               | RxPcapem51                | 19561139<br>
> decoder.udp               | RxPcapem51                | 0<br>
> decoder.sctp              | RxPcapem51                | 0<br>
> decoder.icmpv4            | RxPcapem51                | 180<br>
> decoder.icmpv6            | RxPcapem51                | 0<br>
> decoder.ppp               | RxPcapem51                | 0<br>
> decoder.pppoe             | RxPcapem51                | 0<br>
> decoder.gre               | RxPcapem51                | 0<br>
> decoder.vlan              | RxPcapem51                | 0<br>
> decoder.teredo            | RxPcapem51                | 0<br>
> decoder.ipv4_in_ipv6      | RxPcapem51                | 0<br>
> decoder.ipv6_in_ipv6      | RxPcapem51                | 0<br>
> decoder.avg_pkt_size      | RxPcapem51                | 796<br>
> decoder.max_pkt_size      | RxPcapem51                | 1506<br>
> defrag.ipv4.fragments     | RxPcapem51                | 0<br>
> defrag.ipv4.reassembled   | RxPcapem51                | 0<br>
> defrag.ipv4.timeouts      | RxPcapem51                | 0<br>
> defrag.ipv6.fragments     | RxPcapem51                | 0<br>
> defrag.ipv6.reassembled   | RxPcapem51                | 0<br>
> defrag.ipv6.timeouts      | RxPcapem51                | 0<br>
> defrag.max_frag_hits      | RxPcapem51                | 0<br>
> tcp.sessions              | Detect                    | 66702<br>
> tcp.ssn_memcap_drop       | Detect                    | 0<br>
> tcp.pseudo                | Detect                    | 7500<br>
> tcp.invalid_checksum      | Detect                    | 2<br>
> tcp.no_flow               | Detect                    | 0<br>
> tcp.reused_ssn            | Detect                    | 0<br>
> tcp.memuse                | Detect                    | 36175872<br>
> tcp.syn                   | Detect                    | 131466<br>
> tcp.synack                | Detect                    | 129929<br>
> tcp.rst                   | Detect                    | 56046<br>
> tcp.segment_memcap_drop   | Detect                    | 0<br>
> tcp.stream_depth_reached  | Detect                    | 306<br>
> tcp.reassembly_memuse     | Detect                    | 69060696<br>
> tcp.reassembly_gap        | Detect                    | 3214<br>
> detect.alert              | Detect                    | 38<br>
> flow_mgr.closed_pruned    | FlowManagerThread         | 78944<br>
> flow_mgr.new_pruned       | FlowManagerThread         | 3978<br>
> flow_mgr.est_pruned       | FlowManagerThread         | 2390<br>
> flow.memuse               | FlowManagerThread         | 3852512<br>
> flow.spare                | FlowManagerThread         | 10000<br>
> flow.emerg_mode_entered   | FlowManagerThread         | 0<br>
> flow.emerg_mode_over      | FlowManagerThread         | 0<br>
><br>
> Relevant data here are tcp.reassembly_gap and tcp.invalid_checksum numbers.<br>
><br>
> Any idea please??<br>
><br>
> ------------------------------------------------------------------------------<br>
> Get 100% visibility into Java/.NET code with AppDynamics Lite<br>
> It's a free troubleshooting tool designed for production<br>
> Get down to code-level detail for bottlenecks, with <2% overhead.<br>
> Download for free and get started troubleshooting in minutes.<br>
> <a href="http://p.sf.net/sfu/appdyn_d2d_ap2" target="_blank">http://p.sf.net/sfu/appdyn_d2d_ap2</a><br>
> _______________________________________________<br>
> Snort-users mailing list<br>
> <a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...7287....sourceforge.net</a><br>
> Go to this URL to change user options or unsubscribe:<br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
> Snort-users list archive:<br>
> <a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
<br>
<br>
</div></div>------------------------------------------------------------------------------<br>
How ServiceNow helps IT people transform IT departments:<br>
1. A cloud service to automate IT design, transition and operations<br>
2. Dashboards that offer high-level views of enterprise services<br>
3. A single system of record for all IT processes<br>
<a href="http://p.sf.net/sfu/servicenow-d2d-j" target="_blank">http://p.sf.net/sfu/servicenow-d2d-j</a><br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</div></div></blockquote></div><br></div>