Hi guys,<br><br>Sure will try to reproduce it and let you know.<br><br>thanks<br><br><div class="gmail_quote">On Mon, May 21, 2012 at 9:05 AM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">So looks like an OpenBSD thing.<br>
<br>
Peter, possible for you to reproduce it on an openbsd box?<br>
<div class="HOEnZb"><div class="h5"><br>
On Mon, May 21, 2012 at 12:30 PM, Henri Wahl <<a href="mailto:h.wahl@ifw-dresden.de">h.wahl@ifw-dresden.de</a>> wrote:<br>
> Hi Anoop,<br>
> I run the same file I sent you again on my OpenBSD with Suricata and got<br>
> a core dump:<br>
><br>
> ...<br>
> ular) initialized: http.log<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:334) <Info><br>
> (StreamTcpInitConfig) -- stream "max-sessions": 262144<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:346) <Info><br>
> (StreamTcpInitConfig) -- stream "prealloc-sessions": 32768<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:362) <Info><br>
> (StreamTcpInitConfig) -- stream "memcap": 33554432<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:368) <Info><br>
> (StreamTcpInitConfig) -- stream "midstream" session pickups: disabled<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:374) <Info><br>
> (StreamTcpInitConfig) -- stream "async-oneside": disabled<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:391) <Info><br>
> (StreamTcpInitConfig) -- stream "checksum-validation": enabled<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:401) <Info><br>
> (StreamTcpInitConfig) -- stream."inline": disabled<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:419) <Info><br>
> (StreamTcpInitConfig) -- stream.reassembly "memcap": 67108864<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:437) <Info><br>
> (StreamTcpInitConfig) -- stream.reassembly "depth": 1048576<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:478) <Info><br>
> (StreamTcpInitConfig) -- stream.reassembly "toserver-chunk-size": 2560<br>
> [10304] 21/5/2012 -- 08:55:28 - (stream-tcp.c:480) <Info><br>
> (StreamTcpInitConfig) -- stream.reassembly "toclient-chunk-size": 2560<br>
> [10304] 21/5/2012 -- 08:55:28 - (source-pcap-file.c:216) <Info><br>
> (ReceivePcapFileThreadInit) -- reading pcap file suricata_crash_dump.pcap<br>
> [10304] 21/5/2012 -- 08:55:28 - (tm-threads.c:1858) <Info><br>
> (TmThreadWaitOnThreadInit) -- all 9 packet processing threads, 1<br>
> management threads initialized, engine started.<br>
> [10304] 21/5/2012 -- 08:55:28 - (source-pcap-file.c:193) <Info><br>
> (ReceivePcapFileLoop) -- pcap file end of file reached (pcap err code 0)<br>
> Segmentation fault (core dumped)<br>
><br>
> Doing this on The Linux CentOS 5.8 machine with Suricata 1.2 all seems OK:<br>
><br>
> ...<br>
> 21/5/2012 -- 08:54:25 - <Info> - stream.reassembly "memcap": 67108864<br>
> 21/5/2012 -- 08:54:25 - <Info> - stream.reassembly "depth": 1048576<br>
> 21/5/2012 -- 08:54:25 - <Info> - stream.reassembly<br>
> "toserver_chunk_size": 2560<br>
> 21/5/2012 -- 08:54:25 - <Info> - stream.reassembly<br>
> "toclient_chunk_size": 2560<br>
> 21/5/2012 -- 08:54:25 - <Info> - reading pcap file suricata_crash_dump.pcap<br>
> 21/5/2012 -- 08:54:25 - <Info> - all 5 packet processing threads, 1<br>
> management threads initialized, engine started.<br>
> 21/5/2012 -- 08:54:25 - <Info> - pcap file end of file reached (pcap err<br>
> code 0)<br>
> 21/5/2012 -- 08:54:25 - <Info> - stopping engine, waiting for<br>
> outstanding packets<br>
> 21/5/2012 -- 08:54:25 - <Info> - all packets processed by threads,<br>
> stopping engine<br>
> 21/5/2012 -- 08:54:25 - <Info> - 0 new flows, 0 established flows were<br>
> timed out, 0 flows in closed state<br>
> 21/5/2012 -- 08:54:25 - <Info> - time elapsed 0.213s<br>
> 21/5/2012 -- 08:54:25 - <Info> - Pcap-file module read 117 packets,<br>
> 108788 bytes<br>
> 21/5/2012 -- 08:54:25 - <Info> - Stream TCP processed 117 TCP packets<br>
> 21/5/2012 -- 08:54:25 - <Info> - Fast log output wrote 0 alerts<br>
> 21/5/2012 -- 08:54:25 - <Info> - Alert unified2 module wrote 0 alerts<br>
> 21/5/2012 -- 08:54:25 - <Info> - Max memuse of the stream reassembly<br>
> engine 11292544 (in use 0)<br>
> 21/5/2012 -- 08:54:25 - <Info> - Max memuse of stream engine 6029312 (in<br>
> use 0)<br>
> 21/5/2012 -- 08:54:25 - <Info> - cleaning up signature grouping<br>
> structure... complete<br>
><br>
> So this seems to be somehow OpenBSD related. Are you able to test on<br>
> OpenBSD or are there any OpenBSD developers?<br>
><br>
> Regards<br>
> Henri<br>
><br>
> --<br>
> Henri Wahl<br>
><br>
> IT Department<br>
> Leibniz-Institut für Festkörper- u.<br>
> Werkstoffforschung Dresden<br>
><br>
> tel. (03 51) 46 59 - 797<br>
> email: <a href="mailto:h.wahl@ifw-dresden.de">h.wahl@ifw-dresden.de</a><br>
> <a href="http://www.ifw-dresden.de" target="_blank">http://www.ifw-dresden.de</a><br>
><br>
> Nagios status monitor for your desktop:<br>
> <a href="http://nagstamon.ifw-dresden.de" target="_blank">http://nagstamon.ifw-dresden.de</a><br>
><br>
> IFW Dresden e.V., Helmholtzstraße 20, D-01069 Dresden<br>
> VR Dresden Nr. 1369<br>
> Vorstand: Prof. Dr. Ludwig Schultz, Dr. h.c. Dipl.-Finw. Rolf Pfrengle<br>
><br>
<br>
<br>
<br>
</div></div><div class="HOEnZb"><div class="h5">--<br>
Anoop Saldanha<br>
_______________________________________________<br>
Oisf-devel mailing list<br>
<a href="mailto:Oisf-devel@openinfosecfoundation.org">Oisf-devel@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a></div></div></blockquote></div><br><br clear="all"><br>-- <br>
<div>Regards,</div>
<div>Peter Manev</div><br>