<font size=2 face="sans-serif">I'm testing the latest version of Suricata
I pulled from GIT -- 1.2dev (rev e526525) -- with PF_RING v.5.2.1  Everything
compiles/installs fine but when I run Suricata on a bonded interface, I
get a segfault</font>
<br>
<br><font size=2 face="sans-serif">/usr/local/bin/suricata -c /etc/suricata/suricata-open.yaml
--pfring-int=bond0 --pfring-cluster-id=99 --pfring-cluster-type=cluster_flow
--user=pcap --group=pcap --runmode=autofp</font>
<br><font size=2 face="sans-serif">.</font>
<br><font size=2 face="sans-serif">-- 09:14:46 - (source-pfring.c:375)
<Info> (ReceivePfringThreadInit) -- (RxPFR1) Using PF_RING v.5.2.1,
interface bond0, single-pfring-thread</font>
<br><font size=2 face="sans-serif">-- (tm-threads.c:1810) <Info>
(TmThreadWaitOnThreadInit) -- all 4 packet processing threads, 3 management
threads initialized, engine started.</font>
<br><font size=2 face="sans-serif">Segmentation fault</font>
<br>
<br><font size=2 face="sans-serif">If I use something like eth2 instead
of bond0, it seems to work fine</font>
<br>
<br><font size=2 face="sans-serif">-- (source-pfring.c:375) <Info>
(ReceivePfringThreadInit) -- (RxPFR1) Using PF_RING v.5.2.1, interface
eth2, single-pfring-thread</font>
<br><font size=2 face="sans-serif">-- (tm-threads.c:1810) <Info>
(TmThreadWaitOnThreadInit) -- all 4 packet processing threads, 3 management
threads initialized, engine started.</font>
<br>
<br><font size=2 face="sans-serif">The PF_RING  userland/examples/pfcount
program works on bond0:</font>
<br>
<br><font size=2 face="sans-serif">[root@crom examples]# ./pfcount -i bond0</font>
<br><font size=2 face="sans-serif">Using PF_RING v.5.2.1</font>
<br><font size=2 face="sans-serif">Capturing from bond0 [00:1C:33:A0:D0:F8]</font>
<br><font size=2 face="sans-serif"># Device RX channels: 1</font>
<br><font size=2 face="sans-serif"># Polling threads:    1</font>
<br><font size=2 face="sans-serif">=========================</font>
<br><font size=2 face="sans-serif">Absolute Stats: [385 pkts rcvd][0 pkts
dropped]</font>
<br><font size=2 face="sans-serif">Total Pkts=385/Dropped=0.0 %</font>
<br><font size=2 face="sans-serif">385 pkts - 49'764 bytes</font>
<br><font size=2 face="sans-serif">=========================</font>
<br>
<br><font size=2 face="sans-serif">I know there were some issues with Suricata
and PF_RING last summer that had to do with PF_RING API changes but as
I understand it, those were all fixed a while ago.</font>
<br>
<br><font size=2 face="sans-serif">Has anyone run in to this issue or know
of a fix?  Has anyone gotten the latest versions of Suricata and PF_RING
working, listening on a bonded interface?</font>
<br>
<br><font size=2 face="sans-serif">Here is some info from gdb:</font>
<br>
<br><font size=2 face="sans-serif">Program received signal SIGSEGV, Segmentation
fault.</font>
<br><font size=2 face="sans-serif">[Switching to Thread 0xb74d9b90 (LWP
22588)]</font>
<br><font size=2 face="sans-serif">DecodeEthernet (tv=0xbfa89c0, dtv=0xda8fe48,
p=0x8f27070, pkt=0x1a00ffff <Address 0x1a00ffff out of bounds>, len=64,
pq=0xd533dd0) at decode-ethernet.c:56</font>
<br><font size=2 face="sans-serif">56        
   switch (ntohs(p->ethh->eth_type)) {</font>
<br><font size=2 face="sans-serif">(gdb) backtrace</font>
<br><font size=2 face="sans-serif">#0  DecodeEthernet (tv=0xbfa89c0,
dtv=0xda8fe48, p=0x8f27070, pkt=0x1a00ffff <Address 0x1a00ffff out of
bounds>, len=64, pq=0xd533dd0) at decode-ethernet.c:56</font>
<br><font size=2 face="sans-serif">#1  0x0805ded8 in DecodePfring
(tv=0xbfa89c0, p=0x8f27070, data=0xda8fe48, pq=0xd533dd0, postpq=0x0) at
source-pfring.c:482</font>
<br><font size=2 face="sans-serif">#2  0x08149b46 in TmThreadsSlotVarRun
(tv=0xbfa89c0, p=0x8f27070, slot=0xd533db0) at tm-threads.c:458</font>
<br><font size=2 face="sans-serif">#3  0x0805f4a3 in TmThreadsSlotProcessPkt
(tv=0xbfa89c0, data=0xd5ffa88, slot=0xd533cb8) at tm-threads.h:130</font>
<br><font size=2 face="sans-serif">#4  ReceivePfringLoop (tv=0xbfa89c0,
data=0xd5ffa88, slot=0xd533cb8) at source-pfring.c:279</font>
<br><font size=2 face="sans-serif">#5  0x0814a968 in TmThreadsSlotPktAcqLoop
(td=0xbfa89c0) at tm-threads.c:572</font>
<br><font size=2 face="sans-serif">#6  0x0014c832 in start_thread
() from /lib/libpthread.so.0</font>
<br><font size=2 face="sans-serif">#7  0x005f546e in clone () from
/lib/libc.so.6</font>
<br>
<br><font size=2 face="sans-serif">Thanks.</font>
<br>
<br><font size=2 face="sans-serif">-David</font>