<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">
<div>
<div>
<div>Hello,</div>
<div><br>
</div>
<div><span class="Apple-tab-span" style="white-space:pre"></span>Can you clarity “we are using snort to transmit two types of packets”? (Do you mean you are running snort inline? If so.. How are you running/starting snort? Are you using afpacket, pfring, netmap
 etc..)</div>
<div><br>
</div>
<div>Also “more than 70% of traffic being dropped between snort and internet” (Do you see snort dropping the traffic in the exit stats? Are you sure the traffic in question is making it to snort?)</div>
<div><br>
</div>
<div>Thanks.</div>
<div><br>
</div>
<div>
<div id="MAC_OUTLOOK_SIGNATURE">
<div>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(31, 73, 125);">Albert Lewis<o:p></o:p></span></b></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(166, 166, 166);">QA SNORT/Sourcefire</span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(166, 166, 166);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">SOURCE</span><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: red;">fire</span></b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">,
 Inc. </span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);">now part of </span><b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(49, 132, 155);">Cisco</span></b><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(136, 136, 136);"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">Phone: (office) </span><span style="font-size: 12pt; font-family: Candara, sans-serif;">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 11pt;"><span style="font-size: 12pt; font-family: Candara, sans-serif; color: rgb(153, 153, 153);">Email: </span><span style="font-size: 12pt; font-family: Candara, sans-serif;"><a href="mailto:allewi@...589..." style="color: purple;">allewi@...589...</a><span style="color: rgb(79, 129, 189);"> </span></span></p>
</div>
<br>
</div>
</div>
</div>
</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:12pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>BOCAL CALBO <<a href="mailto:meschoses@...1855...">meschoses@...1855...</a>><br>
<span style="font-weight:bold">Reply-To: </span>BOCAL CALBO <<a href="mailto:meschoses@...1855...">meschoses@...1855...</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, June 22, 2016 at 8:52 AM<br>
<span style="font-weight:bold">To: </span>'snort-users' <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] snort problems<br>
</div>
<div><br>
</div>
<span style="mso-bookmark:_MailOriginalBody">
<div>
<div>
<div style="color:#000; background-color:#fff; font-family:HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:14px">
<div dir="ltr" id="yui_3_16_0_ym19_1_1466599908629_2626">
<div class="body undoreset" tabindex="0" id="yui_3_16_0_ym19_1_1466599865403_2486" style="outline: none 0px; display: table; width: 627.2px; box-sizing: border-box; padding-top: 12px; padding-left: 0px; font-family: "Helvetica Neue", "Segoe UI", Helvetica, Arial, "Lucida Grande", sans-serif; font-size: 13px;">
<div class="email-wrapped" id="yui_3_16_0_ym19_1_1466599865403_2491" style="display: table-cell; width: auto; word-wrap: break-word; word-break: break-word;">
<div id="yiv9133398260">
<div id="yui_3_16_0_ym19_1_1466599865403_2490">
<div id="yui_3_16_0_ym19_1_1466599865403_2489" style="font-family: HelveticaNeue, "Helvetica Neue", Helvetica, Arial, "Lucida Grande", sans-serif; font-size: 14px;">
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3651">Hello,</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3652"><br clear="none" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3653">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3654"><br clear="none" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3655">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3656">We are using snort in an IDS for a while now, and we are facing a problem on packets that are </div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3657">dropped. <br clear="none">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3660"><br clear="none" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3661">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3662">In few words we are using snort to transmit two types of packets the SIP one and the UDP one, and </div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3663"><br clear="none" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3664">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3665">observing the server when working, all our SIP packets passed well through snort to the next server, but more than 70 % of our UDP packets are dropped between the internet network and snort.</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3666"><br clear="none" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3667">
</div>
<div id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3668"></div>
<div dir="ltr" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3669">We will be thankfull to hear from you what is happening. For that we have attached our sostat and netstat -i output .</div>
<div dir="ltr" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3669"><br clear="none">
</div>
<div dir="ltr" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3669">thank you in advance.</div>
<div dir="ltr" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3669"><br clear="none">
</div>
<div dir="ltr" id="yiv9133398260yui_3_16_0_ym19_1_1466598989170_3669">Gilles & Maurizio.</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</span></span>
</body>
</html>