<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div>Hello,</div>
<div><br>
</div>
<div>It appears most of the packets in "notdecoded.pcap" are malformed (in particular, the IP->GRE->IP data), and the output you are seeing is from GRE-encapsulated non-IP data (at least this is how Wireshark and Snort interpret it). The packets that are malformed
 are simply being dropped by Snort.</div>
<div><br>
</div>
<div>I can't speak for your network, but somehow the length fields in the outer IP headers are smaller than they should be(ex. 87 —the length without the GRE and inner ethernet headers — instead of 115 for the first packet), which is why these packets are being
 rejected.</div>
<div><br>
</div>
<div>-Carter</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>"Russ Combs (rucombs)" <<a href="mailto:rucombs@...589...">rucombs@...589...</a>><br>
<span style="font-weight:bold">Date: </span>Monday, March 31, 2014 11:40 AM<br>
<span style="font-weight:bold">To: </span>Fernando Cardoso <<a href="mailto:fcardoso@...14432...">fcardoso@...14432...</a>>, "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@...5870....net</a>" <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [Snort-users] ERSPAN<br>
</div>
<div><br>
</div>
<div dir="ltr"><style id="owaParaStyle" type="text/css">P {margin-top:0;margin-bottom:0;}</style>
<div ocsi="0" fpstyle="1">
<div style="direction: ltr;font-family: Tahoma;color: #000000;font-size: 10pt;">Can you send a pcap?<br>
<div style="font-family: Times New Roman; color: #000000; font-size: 16px">
<hr tabindex="-1">
<div style="direction: ltr;" id="divRpF317538"><font color="#000000" face="Tahoma" size="2"><b>From:</b> Fernando Cardoso [<a href="mailto:fcardoso@...14432...">fcardoso@...14432...</a>]<br>
<b>Sent:</b> Friday, March 28, 2014 11:00 AM<br>
<b>To:</b> <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
<b>Subject:</b> [Snort-users] ERSPAN<br>
</font><br>
</div>
<div></div>
<div>
<div dir="ltr">Hello,
<div><br>
</div>
<div>I'm using  Snort version 2.9.6.0 GRE (Build 47) on a Ubuntu Server to sniff ERSPAN traffic.</div>
<div>Snort output show me entire packet of many different vlans but the source address and destination is the same configured on my switch session.</div>
<div>Sniffing example running snort:</div>
<div>snort -X -i eth1<br>
</div>
<div>
<div>=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+<br>
</div>
<div><br>
</div>
<div>03/28-11:37:15.569789 10.199.11.1 -> 10.200.10.10</div>
<div>GRE TTL:255 TOS:0x0 ID:900 IpLen:20 DgmLen:84 DF</div>
<div>0x0000: 00 50 56 91 06 B7 54 7F EE 96 AC 7C 08 00 45 00  .PV...T....|..E.</div>
<div>0x0010: 00 54 03 84 40 00 FF 2F 65 02 0A C7 C7 01 0A 64  .T..@...979...846.../e......d</div>
<div>0x0020: 36 C8 10 00 88 BE 32 4E CB 44 12 6B 00 01 00 01  6.....2N.D.k....</div>
<div>0x0030: 00 00 02 0A BD 00 00 00 02 0A BE 00 00 00 89 03  ................</div>
<div>0x0040: 40 20 00 B0 D1 34 32 31 00 50 56 91 72 E3 81 00  @ ...421.PV.r...</div>
<div>0x0050: 02 6B 08 00 45 00 00 28 67 D8 40 00 40 06 E8 6A  .k..E..(g.@...843...@..j</div>
<div>0x0060: 0A FC 13 05 BA DF 11 AD 1F 90 C6 6E 81 51 5B D9  ...........n.Q[.</div>
<div>0x0070: 6E 90 0F 3E 50 10 00 F2 83 5D 00 00 00 00 00 00  n..>P....]......</div>
<div>                              ..</div>
</div>
<div>Where 10.199.11.1 is my source and 10.200.10.10 is my destination in my session configuration</div>
<div><br>
</div>
<div>When I use tools like tshark and gulp I can see the right source and dest not only source and dest from GRE.</div>
<div><br>
</div>
<div>My switch is a nexus 5k and my config is something like this:</div>
<div>
<div>session 1 </div>
<div>--------------- </div>
<div>type              : erspan-source </div>
<div>state             : up </div>
<div>erspan-id         : 1 </div>
<div>vrf-name          : default </div>
<div>destination-ip    : 10.200.10.10 </div>
<div>ip-ttl            : 255 </div>
<div>ip-dscp           : 0 </div>
<div>origin-ip         : 10.199.11.1 (global) </div>
<div>source intf       : </div>
<div>    rx            : </div>
<div>    tx            : </div>
<div>    both          : </div>
<div>source VLANs      : </div>
<div>    rx            : 10,50,100-150</div>
</div>
<div><br>
</div>
<div><br>
</div>
<div>My question is, can snort show the ip adress dest and source from decapsulated erspan like tshark and gulp?</div>
<div><br>
</div>
<div><br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</span>
</body>
</html>