<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0cm;
        mso-margin-bottom-alt:auto;
        margin-left:0cm;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Courier New";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:991372059;
        mso-list-template-ids:-290813916;}
@list l0:level1
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:36.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Symbol;}
@list l0:level2
        {mso-level-number-format:bullet;
        mso-level-text:o;
        mso-level-tab-stop:72.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:"Courier New";
        mso-bidi-font-family:"Times New Roman";}
@list l0:level3
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:108.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level4
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:144.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level5
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:180.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level6
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:216.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level7
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:252.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level8
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:288.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l0:level9
        {mso-level-number-format:bullet;
        mso-level-text:;
        mso-level-tab-stop:324.0pt;
        mso-level-number-position:left;
        text-indent:-18.0pt;
        mso-ansi-font-size:10.0pt;
        font-family:Wingdings;}
@list l1
        {mso-list-id:1005789267;
        mso-list-template-ids:-1606635694;}
ol
        {margin-bottom:0cm;}
ul
        {margin-bottom:0cm;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I believe the default configuration picks up large amount of false positives that is why it is maxing out cpu.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I would recommend you install pulledpork and use a policy, balanced or security.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Then start customising rules from there<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">To install pulled pork on centos<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><a href="http://www.rivy.org/2013/03/updating-snort-rules-using-pulled-pork/">http://www.rivy.org/2013/03/updating-snort-rules-using-pulled-pork/</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">yum install perl-Crypt-SSLeay perl-LWP-Protocol-https perl-Sys-Syslog perl-Archive-Tar<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">cd /usr/local/bin<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">wget
<a href="http://pulledpork.googlecode.com/svn/trunk/pulledpork.pl">http://pulledpork.googlecode.com/svn/trunk/pulledpork.pl</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">chmod 755 pulledpork.pl<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">mkdir /etc/pulledpork/<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">cd /etc/pulledpork<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">wget
<a href="http://pulledpork.googlecode.com/svn/trunk/etc/pulledpork.conf">http://pulledpork.googlecode.com/svn/trunk/etc/pulledpork.conf</a><o:p></o:p></span></p>
<ul type="disc">
<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l0 level1 lfo2">
configure file <o:p></o:p></li></ul>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:18.0pt">
<o:p> </o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:18.0pt">
to run pulled pork<o:p></o:p></p>
<p class="MsoNormal"><span style="font-size:10.0pt;font-family:"Courier New"">pulledpork.pl -c /etc/pulledpork/pulledpork.conf -vv -P<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span lang="EN-US" style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Khanh Tran [mailto:ktran@...16949...]
<br>
<b>Sent:</b> 22 September 2014 20:06<br>
<b>To:</b> snort-users@lists.sourceforge.net; Kurzawa, Kevin; Sharif Uddin<br>
<b>Subject:</b> Re: [Snort-users] memcap maxed out<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p>I sorta fixed the problem but honestly, I'm not sure if it's the right solution (Just don't know what the heck I'm doing. First time installing snort)<o:p></o:p></p>
<p>I did two things:<o:p></o:p></p>
<ol start="1" type="1">
<li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo1">
I had 4 ports spanned to snort's monitoring promiscuous interface. Snort's switch interface had tons of packet drops. Way too much traffic which I believe contribute to buffering overflow. Also, with tons of dropped packets snort is not able to see RX and TX
 in order to analyze traffic? (Don't know for sure but still researching. I don't know what info snort requires in order to analyze traffic. Does it require a complete established sessions before analyzing? For testing purposes, I removed stream5_tcp: 'requires_3whs'
 (3 way handshakes) but that didn't help). In any case, having one span port to snort alleviates helps a lot. Dropping tons of packets is never a good thing :)<o:p></o:p></li><li class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;mso-list:l1 level1 lfo1">
I've also changed and added the following parameters (in red below) in /etc/snort/snort.conf. Max_queued_bytes and max_queued_segs seems to help a lot to remove these messages. My box has tons of memory so I figured 80MB and 40MB respectively should be ok.<o:p></o:p></li></ol>
<p># Target-Based stateful inspection/stream reassembly. For more inforation, see README.stream5<br>
preprocessor stream5_global: track_tcp yes, \<br>
track_udp yes, \<br>
track_icmp no, \<br>
<strong><span style="color:red">memcap 1073741824, \</span></strong><br>
<strong><span style="color:red">max_tcp 1048576, \</span></strong><br>
<strong><span style="color:red">max_udp 1048576, \</span></strong><br>
<strong><span style="color:red">prune_log_max 1073741824, \</span></strong><br>
max_active_responses 4, \<br>
min_response_seconds 6<br>
preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, \<br>
   overlap_limit 10, small_segments 3 bytes 150, timeout 180, <strong><span style="color:red">max_queued_bytes 90485760, max_queued_segs 40485760</span></strong>, \<o:p></o:p></p>
<p><o:p> </o:p></p>
<p>Regarding high CPU, it's Snorby for me. It hogs a lot of CPU.<o:p></o:p></p>
<p>Thanks<o:p></o:p></p>
<p><o:p> </o:p></p>
<p>KT<o:p></o:p></p>
<p>====================<o:p></o:p></p>
<p><o:p> </o:p></p>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal" style="margin-bottom:12.0pt">On September 22, 2014 at 12:32 PM Sharif Uddin <<a href="mailto:Sharif.Uddin@...16962...">Sharif.Uddin@...16962...</a>> wrote:
<o:p></o:p></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">After the changes I made provided by khanh it has reduced the messages a lot, however I do still get a few of the following</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:07:11 snort dbus-daemon: dbus[580]: [system] Activating via systemd: service name='org.freedesktop.nm_dispatcher' unit='dbus-org.freedesktop.nm-dispatcher.service'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:07:11 snort systemd: Starting Network Manager Script Dispatcher Service...</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:07:11 snort dbus-daemon: dbus[580]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:07:11 snort dbus[580]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:07:11 snort systemd: Started Network Manager Script Dispatcher Service.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 20:58:17 snort snort[4675]: S5: Pruned session from cache that was using 23197249 bytes (stale/timeout). 172.16.10.1 57087 --> 172.16.0.12 49155
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 21:01:01 snort systemd: Starting Session 201 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 21:01:01 snort systemd: Started Session 201 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 21:03:58 snort snort[4675]: S5: Pruned session from cache that was using 4443620 bytes (stale/timeout). 172.16.16.44 57483 --> 172.16.0.36 8080
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 21:59:46 snort snort[4675]: S5: Pruned session from cache that was using 6225120 bytes (stale/timeout). 172.16.10.1 58760 --> 172.16.0.12 49155
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 22:01:01 snort systemd: Starting Session 202 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 22:01:01 snort systemd: Started Session 202 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 23:01:01 snort systemd: Starting Session 203 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 23:01:01 snort systemd: Started Session 203 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 20 23:07:07 snort snort[4675]: S5: Pruned session from cache that was using 24539548 bytes (stale/timeout). 172.16.16.44 44858 --> 172.16.0.36 8080
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 00:01:01 snort systemd: Starting Session 204 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 00:01:01 snort systemd: Started Session 204 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:01:01 snort systemd: Starting Session 205 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:01:01 snort systemd: Started Session 205 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dhclient[1910]: DHCPREQUEST on em1 to 172.16.0.11 port 67 (xid=0x3b0b675d)</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager: DHCPREQUEST on em1 to 172.16.0.11 port 67 (xid=0x3b0b675d)</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dhclient[1910]: DHCPACK from 172.16.0.11 (xid=0x3b0b675d)</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager: DHCPACK from 172.16.0.11 (xid=0x3b0b675d)</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dhclient[1910]: bound to 172.16.3.14 -- renewal in 17936 seconds.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info> (em1): DHCPv4 state changed renew -> renew</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   address 172.16.3.14</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   plen 22 (255.255.252.0)</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   gateway 172.16.0.1</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   server identifier 172.16.0.11</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   lease time 43200</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   nameserver '172.16.0.11'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   nameserver '172.16.0.15'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain name 'uk.spectrumasa.com'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain search 'uk.spectrumasa.com.'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain search 'spectrumasa.com.'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain search 'usa.spectrumasa.com.'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain search 'houston.'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager[571]: <info>   domain search 'cairo.'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dbus[580]: [system] Activating via systemd: service name='org.freedesktop.nm_dispatcher' unit='dbus-org.freedesktop.nm-dispatcher.service'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort NetworkManager: bound to 172.16.3.14 -- renewal in 17936 seconds.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dbus-daemon: dbus[580]: [system] Activating via systemd: service name='org.freedesktop.nm_dispatcher' unit='dbus-org.freedesktop.nm-dispatcher.service'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort systemd: Starting Network Manager Script Dispatcher Service...</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dbus-daemon: dbus[580]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort dbus[580]: [system] Successfully activated service 'org.freedesktop.nm_dispatcher'</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:31:54 snort systemd: Started Network Manager Script Dispatcher Service.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 01:46:57 snort snort[4675]: S5: Pruned session from cache that was using 19672851 bytes (stale/timeout). 172.16.10.1 59497 --> 172.16.0.12 49155
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 02:01:01 snort systemd: Starting Session 206 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 02:01:01 snort systemd: Started Session 206 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 02:01:28 snort snort[4675]: S5: Pruned session from cache that was using 1929768 bytes (stale/timeout). 172.16.0.69 35346 --> 23.63.99.217 80
 (0) : LWstate 0x1 LWFlags 0x12001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 02:07:03 snort snort[4675]: S5: Pruned session from cache that was using 24514203 bytes (stale/timeout). 172.16.16.44 44393 --> 172.16.0.36 8080
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 02:16:21 snort snort[4675]: S5: Pruned session from cache that was using 2926002 bytes (stale/timeout). 172.16.10.1 60985 --> 172.16.0.12 49155
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 03:01:01 snort systemd: Starting Session 207 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 03:01:01 snort systemd: Started Session 207 of user root.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Sep 21 03:24:37 snort snort[4675]: S5: Pruned session from cache that was using 22292355 bytes (stale/timeout). 172.16.17.87 49284 --> 172.16.3.240 445
 (0) : LWstate 0x1 LWFlags 0x412001</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><strong><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></strong><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Kurzawa, Kevin [<a href="mailto:kkurzawa@...16800...">mailto:kkurzawa@...16800...</a>]
<br>
<strong><span style="font-family:"Tahoma","sans-serif"">Sent:</span></strong> 22 September 2014 17:04<br>
<strong><span style="font-family:"Tahoma","sans-serif"">To:</span></strong> <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
<strong><span style="font-family:"Tahoma","sans-serif"">Subject:</span></strong> Re: [Snort-users] memcap maxed out</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Did you ever get a response or an answer to this? I used to get these non-stop. My CPU was being taxed by the process though, averaging 80% utilization.
 Memory was only about 3GB out of 8GB though. So I always thought this was very odd.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D">Turns out after I went from an old HP ProLiant DL360 to a newer, but still old Cisco server (I don’t have the model in front of me now), those messages
 disappeared. While the Cisco CPU is actually clocked slower, it only gets about 5% utilization. Go figure. I am told that it has to do with the CPU’s Streaming SIMD Extensions (SSE) set being older on the HP (SSE2, I think). The newer SSE of the cisco (SSE3,
 I think) handles the same traffic from that tap (~20Mbps), plus traffic from another tap (~50Mbps) without batting an eye.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><strong><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></strong><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Sharif Uddin [<a href="mailto:Sharif.Uddin@...16962...">mailto:Sharif.Uddin@...16962...</a>]
<br>
<strong><span style="font-family:"Tahoma","sans-serif"">Sent:</span></strong> Tuesday, September 16, 2014 10:50 AM<br>
<strong><span style="font-family:"Tahoma","sans-serif"">To:</span></strong> <a href="mailto:snort-users@lists.sourceforge.net">
snort-users@lists.sourceforge.net</a><br>
<strong><span style="font-family:"Tahoma","sans-serif"">Subject:</span></strong> [Snort-users] memcap maxed out</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Hello<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">I have set stream5 as follows<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">preprocessor stream5_global: track_tcp yes, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   track_udp yes, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   track_icmp no, \
</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   memcap 1073741824, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   max_tcp 262144, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   max_udp 131072, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   max_active_responses 2, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   min_response_seconds 5</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">preprocessor stream5_tcp: policy windows, detect_anomalies, require_3whs 180, max_queued_segs 0, max_queued_bytes 0, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">   overlap_limit 10, small_segments 3 bytes 150, timeout 180, \</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas">however I still get the following in logs. Is this normal?</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:Consolas"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:00 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 137 ssns remain.  memcap: 1073734853/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:00 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 132 ssns remain.  memcap: 1073733155/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 156 ssns remain.  memcap: 1073728713/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 151 ssns remain.  memcap: 1073737880/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 147 ssns remain.  memcap: 1073739465/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 143 ssns remain.  memcap: 1073739742/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 138 ssns remain.  memcap: 1073739597/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 133 ssns remain.  memcap: 1073739179/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 128 ssns remain.  memcap: 1073739614/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 123 ssns remain.  memcap: 1073740666/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned session from cache that was using 30689490 bytes (memcap/check). 172.16.0.200 54138 --> 172.16.0.22 445 (0) : LWstate 0x40 LWFlags
 0x422101<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Sep 16 15:45:01 snort snort[1670]: S5: Pruned 5 sessions from cache for memcap. 118 ssns remain.  memcap: 1043016415/1073741824<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black">Sharif Uddin<br>
<em><span style="font-family:"Arial","sans-serif"">Development/Support Engineer</span></em><br>
-------------------</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:12.0pt"><strong><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">Spectrum Geo Ltd</span></strong><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><br>
Dukes Court, Duke Street<br>
Woking, Surrey<br>
GU21 5BH<br>
UNITED KINGDOM</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">Tel: +44 (0) 1483 730201<br>
Fax: +44 (0) 1483 762620</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span style="font-size:10.0pt;font-family:"Arial","sans-serif";color:black"><a href="http://www.spectrumasa.com/">www.spectrum<strong><span style="font-family:"Arial","sans-serif"">asa</span></strong>.com</a></span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><br>
<span style="color:#3366FF">IMPORTANT - This message and any attached files contain information intended for the exclusive use of the party or parties to whom it is addressed and may contain information that is proprietary, privileged, confidential and/or exempt
 from disclosure under applicable law. If you are not an intended recipient, you are hereby notified that any viewing, copying, disclosure or distribution of this information may be subject to legal restriction or sanction. Please notify the sender immediately
 and delete the original message without making any copies. Copyright in this email and any attachments belong to Spectrum Geo Limited.
<br>
We cannot guarantee the security or confidentiality of email communications. We do not accept any liability for losses or damages that you may suffer as a result of your receipt of this email.
<br>
Email communication with Spectrum Geo Ltd., may be monitored as permitted by UK legislation.
<br>
Spectrum Geo Limited, is a limited company registered in England and Wales. Registered number: 1979422. Registered office: 95 Aldwych, London WC2B 4JF.
</span><o:p></o:p></p>
</div>
<p class="MsoNormal"><br>
<span style="color:#3366FF">IMPORTANT - This message and any attached files contain information intended for the exclusive use of the party or parties to whom it is addressed and may contain information that is proprietary, privileged, confidential and/or exempt
 from disclosure under applicable law. If you are not an intended recipient, you are hereby notified that any viewing, copying, disclosure or distribution of this information may be subject to legal restriction or sanction. Please notify the sender immediately
 and delete the original message without making any copies. Copyright in this email and any attachments belong to Spectrum Geo Limited.
<br>
We cannot guarantee the security or confidentiality of email communications. We do not accept any liability for losses or damages that you may suffer as a result of your receipt of this email.
<br>
Email communication with Spectrum Geo Ltd., may be monitored as permitted by UK legislation.
<br>
Spectrum Geo Limited, is a limited company registered in England and Wales. Registered number: 1979422. Registered office: 95 Aldwych, London WC2B 4JF.
</span><o:p></o:p></p>
</blockquote>
<p><br>
 <o:p></o:p></p>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal">------------------------------------------------------------------------------
<br>
Meet PCI DSS 3.0 Compliance Requirements with EventLog Analyzer <br>
Achieve PCI DSS 3.0 Compliant Status with Out-of-the-box PCI DSS Reports <br>
Are you Audit-Ready for PCI DSS 3.0 Compliance? Download White paper <br>
Comply to PCI DSS 3.0 Requirement 10 and 11.5 with EventLog Analyzer <br>
<a href="http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk_______________________________________________">http://pubads.g.doubleclick.net/gampad/clk?id=154622311&iu=/4140/ostg.clktrk_______________________________________________</a>
<br>
Snort-users mailing list <br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@lists.sourceforge.net</a>
<br>
Go to this URL to change user options or unsubscribe: <br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a>
<br>
Snort-users list archive: <br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a>
<br>
<br>
Please visit <a href="http://blog.snort.org">http://blog.snort.org</a> to stay current on all the latest Snort news!
<o:p></o:p></p>
</blockquote>
<p><br>
 <o:p></o:p></p>
</div>
<br>
<font color="#3366ff">IMPORTANT - This message and any attached files contain information intended for the exclusive use of the party or parties to whom it is addressed and may contain information that is proprietary, privileged, confidential and/or exempt
 from disclosure under applicable law. If you are not an intended recipient, you are hereby notified that any viewing, copying, disclosure or distribution of this information may be subject to legal restriction or sanction. Please notify the sender immediately
 and delete the original message without making any copies. Copyright in this email and any attachments belong to Spectrum Geo Limited.
<br>
We cannot guarantee the security or confidentiality of email communications. We do not accept any liability for losses or damages that you may suffer as a result of your receipt of this email.
<br>
Email communication with Spectrum Geo Ltd., may be monitored as permitted by UK legislation.
<br>
Spectrum Geo Limited, is a limited company registered in England and Wales. Registered number: 1979422. Registered office: 95 Aldwych, London WC2B 4JF.
</font>
</body>
</html>