
Yes, I am running debian 5 with kernel 2.6.31.14  32bit。 And the system ram size is 2GB*2.<div><br></div><div>So, if it is really this issue. How can I avoid this coredump happen? Can I change some settings in the suricata.yaml file?</div>

<div>  </div><div>Thanks.<br><br><div class="gmail_quote">On Thu, Nov 29, 2012 at 11:03 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 11/29/2012 08:50 AM, xbadou xbadou wrote:<br>

> Hi,<br>

><br>

><br>

> I was running suricata 1.3.4 and recently I got several coredump files.<br>

> I hope I can do some help to improve suricata.<br>

><br>

><br>

><br>

> I was compiled with:<br>

><br>

> ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc<br>

> --localstatedir=/var<br>

><br>

><br>

><br>

> Cmdline is:<br>

><br>

> /usr/bin/suricata -D -c /etc/suricata/suricata.yaml -i bridge1<br>

><br>

><br>

><br>

> ‘bridge1’ is a simple bridge with 2 nics. And we have some Internet<br>

> traffic on it.<br>

><br>

> My ‘suricata.yaml’ file is almost not changed. And my HOME_NET is any.<br>

><br>

> I was using rules from EmergingThreats.<br>

><br>

><br>

><br>

> The following is the backtrace stack may help you.<br>

><br>

><br>

><br>

> Program terminated with signal 11, Segmentation fault.<br>

><br>

> [New process 2725]<br>

><br>

> [New process 2661]<br>

><br>

> [New process 2726]<br>

><br>

> [New process 2728]<br>

><br>

> [New process 2729]<br>

><br>

> [New process 2724]<br>

><br>

> [New process 2727]<br>

><br>

> [New process 2722]<br>

><br>

> [New process 2720]<br>

><br>

> [New process 2721]<br>

><br>

> [New process 2723]<br>

><br>

> #0  0x0810b759 in SCACSearch (mpm_ctx=0xc42bf48,<br>

> mpm_thread_ctx=0xcde8cac, pmq=0xcde8cc4, buf=0x0, buflen=28919) at<br>

> util-mpm-ac.c:1232<br>

><br>

> 1232    util-mpm-ac.c: No such file or directory.<br>

><br>

>         in util-mpm-ac.c<br>

><br>

> (gdb) bt<br>

><br>

> #0  0x0810b759 in SCACSearch (mpm_ctx=0xc42bf48,<br>

> mpm_thread_ctx=0xcde8cac, pmq=0xcde8cc4, buf=0x0, buflen=28919) at<br>

> util-mpm-ac.c:1232<br>

><br>

> #1  0x08090047 in HttpServerBodyPatternSearch (det_ctx=0xcde8c58,<br>

> body=0x0, body_len=<value optimized out>, flags=10 '\n')<br>

><br>

>     at detect-engine-mpm.c:359<br>

><br>

> #2  0x0809cbfa in DetectEngineRunHttpServerBodyMpm (de_ctx=0xb2231c8,<br>

> det_ctx=0xcde8c58, f=0x4979c198, htp_state=0x7e21f350,<br>

><br>

>     flags=10 '\n') at detect-engine-hsbd.c:248<br>

><br>

> #3  0x08077a8a in SigMatchSignatures (th_v=0xb6fa7b30, de_ctx=0xb2231c8,<br>

> det_ctx=0xcde8c58, p=0xadcb980) at detect.c:1264<br>

><br>

> #4  0x08077b72 in Detect (tv=0xb6fa7b30, p=0xadcb980, data=0xcde8c58,<br>

> pq=0xb6fa7ca8, postpq=0x0) at detect.c:1995<br>

><br>

> #5  0x0814e234 in TmThreadsSlotVarRun (tv=0xb6fa7b30, p=0xadcb980,<br>

> slot=0xb6fa7bb0) at tm-threads.c:508<br>

><br>

> #6  0x0814e4ec in TmThreadsSlotVar (td=0xb6fa7b30) at tm-threads.c:732<br>

><br>

> #7  0xb765d4c0 in start_thread () from /lib/i686/cmov/libpthread.so.0<br>

><br>

> #8  0xb759484e in clone () from /lib/i686/cmov/libc.so.6<br>

><br>

> (gdb)<br>

><br>

><br>

><br>

><br>

><br>

> The following is the other one:<br>

><br>

><br>

><br>

> Program terminated with signal 11, Segmentation fault.<br>

><br>

> [New process 28453]<br>

><br>

> [New process 28456]<br>

><br>

> [New process 28455]<br>

><br>

> [New process 28421]<br>

><br>

> [New process 28458]<br>

><br>

> [New process 28457]<br>

><br>

> [New process 28454]<br>

><br>

> [New process 28451]<br>

><br>

> [New process 28450]<br>

><br>

> [New process 28459]<br>

><br>

> [New process 28452]<br>

><br>

> #0  0xb78996d3 in table_add () from /usr/lib/libhtp-0.2.so.1<br>

><br>

> (gdb) bt<br>

><br>

> #0  0xb78996d3 in table_add () from /usr/lib/libhtp-0.2.so.1<br>

><br>

> #1  0xb78960e4 in htp_process_response_header_generic () from<br>

> /usr/lib/libhtp-0.2.so.1<br>

><br>

> #2  0xb789c389 in htp_connp_RES_HEADERS () from /usr/lib/libhtp-0.2.so.1<br>

><br>

> #3  0xb789b4e9 in htp_connp_res_data () from /usr/lib/libhtp-0.2.so.1<br>

><br>

> #4  0x08186030 in HTPHandleResponseData (f=0x670c6f00,<br>

> htp_state=0x9f122e8, pstate=0xb1eac20,<br>

><br>

>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>

> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>

> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>

> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173,<br>

><br>

>     local_data=0x0, output=0xb322d800) at app-layer-htp.c:750<br>

><br>

> #5  0x0817fba6 in AppLayerDoParse (local_data=0x0, f=0x670c6f00,<br>

> app_layer_state=0x9f122e8, parser_state=0xb1eac20,<br>

><br>

>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>

> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>

> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>

> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173,<br>

><br>

>     parser_idx=<value optimized out>, proto=1) at app-layer-parser.c:726<br>

><br>

> #6  0x0817fea1 in AppLayerParse (local_data=0x0, f=0x670c6f00,<br>

> proto=<value optimized out>, flags=10 '\n',<br>

><br>

>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>

> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>

> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>

> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173)<br>

><br>

>     at app-layer-parser.c:935<br>

><br>

> #7  0x0816d5f7 in StreamTcpReassembleAppLayer (tv=0xb70007f0,<br>

> ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1b8c, p=0x99e3db0)<br>

><br>

>     at stream-tcp-reassemble.c:2942<br>

><br>

> #8  0x0816d813 in StreamTcpReassembleHandleSegmentUpdateACK<br>

> (tv=0xb70007f0, ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1b8c,<br>

><br>

>     p=0x99e3db0) at stream-tcp-reassemble.c:3310<br>

><br>

> #9  0x0816f2df in StreamTcpReassembleHandleSegment (tv=0xb70007f0,<br>

> ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1bc4, p=0x99e3db0,<br>

><br>

>     pq=0xb2900500) at stream-tcp-reassemble.c:3384<br>

><br>

> #10 0x08168ac3 in StreamTcpPacketStateFinWait1 (tv=0xb70007f0,<br>

> p=0x99e3db0, stt=0xb29004f8, ssn=0x3d4b1b88, pq=0xb2900500)<br>

><br>

>     at stream-tcp.c:2264<br>

><br>

> #11 0x0816a1af in StreamTcpPacket (tv=0xb70007f0, p=0x99e3db0,<br>

> stt=0xb29004f8, pq=0xb7000890) at stream-tcp.c:3517<br>

><br>

> #12 0x0816b3ff in StreamTcp (tv=0xb70007f0, p=0x99e3db0,<br>

> data=0xb29004f8, pq=0xb7000890, postpq=0xb70008e4) at stream-tcp.c:3752<br>

><br>

> #13 0x0814e234 in TmThreadsSlotVarRun (tv=0xb70007f0, p=0x99e3db0,<br>

> slot=0xb7000870) at tm-threads.c:508<br>

><br>

> #14 0x0814e4ec in TmThreadsSlotVar (td=0xb70007f0) at tm-threads.c:732<br>

><br>

> #15 0xb78184c0 in start_thread () from /lib/i686/cmov/libpthread.so.0<br>

><br>

> #16 0xb774f84e in clone () from /lib/i686/cmov/libc.so.6<br>

><br>

> (gdb)<br>

><br>

><br>

><br>

><br>

><br>

> For the coredump file is very large (>3GB), so if you want more<br>

> information please reply me. I am happy to see the improvement of suricata.<br>

<br>

</div></div>Are you on 32bit or 64bit? It may be a out of memory issue if you're on<br>

32bit. The 3gb core file is pretty much the max memory size for 32bit I<br>

think.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Participate: <a href="http://suricata-ids.org/participate/" target="_blank">http://suricata-ids.org/participate/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>

Redmine: <a href="https://redmine.openinfosecfoundation.org/" target="_blank">https://redmine.openinfosecfoundation.org/</a><br>

</font></span></blockquote></div><br></div>