<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
The first question I would ask is, why are you not using the most up to date version of Snort.  If this issue was fixed in a later version, that may clear it up right away.
<div class=""><br class="">
<div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div class=""><b style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><font color="#5e5e5e" class="">--</font></b></div>
<div style="font-size: 14px;" class=""><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#5e5e5e" class="">Joel Esler </font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class="">| </span><b style="font-family: Calibri, sans-serif; font-size: 12px;" class=""><font color="#0096ff" class="">Talos:</font></b><span style="font-family: Calibri, sans-serif; font-size: 12px;" class=""> M</span><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 12px;" class="">anager
 | <a href="mailto:jesler@cisco.com" class="">jesler@cisco.com</a></font></div>
<div class=""><font color="#424242" style="font-family: Calibri, sans-serif; font-size: 10px;" class=""><br class="">
</font></div>
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
</div>
<br class="Apple-interchange-newline">
<br class="Apple-interchange-newline">
</div>
<br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Sep 7, 2017, at 1:56 AM, Berkay Koyutürk <<a href="mailto:berkay.koyuturk@labrisnetworks.com" class="">berkay.koyuturk@labrisnetworks.com</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div class="">Hi everybody,<br class="">
<br class="">
As title says above I have a problem with file_inspect preprocessor. I am running snort with inline mod with file configurations below:<br class="">
<br class="">
#file config<br class="">
<br class="">
config file: \<br class="">
  file_type_depth 0, \<br class="">
  file_signature_depth 0, \<br class="">
  file_capture_memcap 1000, \<br class="">
  file_capture_max 4294967295, \<br class="">
  file_block_timeout 1, \<br class="">
  file_capture_min 0<br class="">
<br class="">
#file_inspect preprocessor<br class="">
<br class="">
preprocessor file_inspect: \<br class="">
   signature, \<br class="">
   capture_disk /root/captured_files 1024, \<br class="">
   capture_queue_size 5000, \<br class="">
   blacklist sha_blacklist, \<br class="">
   greylist sha_greylist<br class="">
<br class="">
#file_inspect.rules<br class="">
<br class="">
alert ( msg: “File signature “; sid: 1; gid: 147; rev: 1; metadata: rule-type preproc; )<br class="">
<br class="">
With these configurations I can successfully block downloading files if its sha256 sum is in sha_blacklist file. My problem is , while snort running it keeps holding this files on its memory and after a while for example 33 files with 10MB each, it stops blocking
 files even cant see them anymore. My snort exit stats is below:<br class="">
<br class="">
======================================<br class="">
 Total file type callbacks:            0<br class="">
 Total file signature callbacks:       33<br class="">
 Total files would saved to disk:      33<br class="">
 Total files saved to disk:            0<br class="">
 Total file data saved to disk:        0         bytes<br class="">
 Total files duplicated:               33<br class="">
 Total files reserving failed:         0<br class="">
 Total file capture min:               0<br class="">
 Total file capture max:               0<br class="">
 Total file capture memcap:            0<br class="">
 Total files reading failed:           0<br class="">
 Total file agent memcap failures:     0<br class="">
 Total files sent:                     0<br class="">
 Total file data sent:                 0<br class="">
 Total file transfer failures:         0<br class="">
========================================<br class="">
File type stats:<br class="">
        Type              Download   (Bytes)      Upload (Bytes)<br class="">
           Total          0          0            0 0<br class="">
<br class="">
File signature stats:<br class="">
        Type              Download   Upload<br class="">
Undecided file type, continue...(  0)          33 0<br class="">
           Total          33         0<br class="">
<br class="">
File type verdicts:<br class="">
       UNKNOWN:           0<br class="">
           LOG:           0<br class="">
          STOP:           0<br class="">
         BLOCK:           0<br class="">
        REJECT:           0<br class="">
       PENDING:           0<br class="">
  STOP CAPTURE:           0<br class="">
         Total:           0<br class="">
<br class="">
File signature verdicts:<br class="">
       UNKNOWN:           0<br class="">
           LOG:           0<br class="">
          STOP:           0<br class="">
         BLOCK:           33<br class="">
        REJECT:           0<br class="">
       PENDING:           0<br class="">
  STOP CAPTURE:           0<br class="">
         Total:           33<br class="">
<br class="">
Total files processed:             33<br class="">
Total files data processed:        346030080 bytes<br class="">
Total files buffered:              33<br class="">
Total files released:              33<br class="">
Total files freed:                 0<br class="">
Total files captured:              33<br class="">
Total files within one packet:     0<br class="">
Total buffers allocated:           10560<br class="">
Total buffers freed:               0<br class="">
Total buffers released:            10560<br class="">
Maximum file buffers used:         379<br class="">
Total buffers free errors:         0<br class="">
Total buffers release errors:      0<br class="">
Total memcap failures:             0<br class="">
Total memcap failures at reserve:  0<br class="">
Total reserve failures:            0<br class="">
Total file capture size min:       0<br class="">
Total file capture size max:       0<br class="">
Total capture max before reserve:  0<br class="">
Total file signature max:          0<br class="">
Maximum buffers can allocate:      31976<br class="">
Number of buffers in use:          0<br class="">
Number of buffers in free list:    21416<br class="">
Number of buffers in release list: 10560<br class="">
====================================<br class="">
<br class="">
With this stat above I downloaded 52 files and first 36 are blocked but after that snort didn't even see them .I am using snort version 2.9.8.2 with daq inline mod. Am I forgetting some sort of configuration or is it a bug? Thanks for help<br class="">
<br class="">
<br class="">
_______________________________________________<br class="">
Snort-users mailing list<br class="">
<a href="mailto:Snort-users@lists.snort.org" class="">Snort-users@lists.snort.org</a><br class="">
Go to this URL to change user options or unsubscribe:<br class="">
https://lists.snort.org/mailman/listinfo/snort-users<br class="">
<br class="">
Please visit http://blog.snort.org to stay current on all the latest Snort news!<br class="">
</div>
</div>
</blockquote>
</div>
<br class="">
</div>
</body>
</html>