Yes, I am running debian 5 with kernel 2.6.31.14  32bit。 And the system ram size is 2GB*2.<div><br></div><div>So, if it is really this issue. How can I avoid this coredump happen? Can I change some settings in the suricata.yaml file?</div>
<div>  </div><div>Thanks.<br><br><div class="gmail_quote">On Thu, Nov 29, 2012 at 11:03 PM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 11/29/2012 08:50 AM, xbadou xbadou wrote:<br>
> Hi,<br>
><br>
><br>
> I was running suricata 1.3.4 and recently I got several coredump files.<br>
> I hope I can do some help to improve suricata.<br>
><br>
><br>
><br>
> I was compiled with:<br>
><br>
> ./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc<br>
> --localstatedir=/var<br>
><br>
><br>
><br>
> Cmdline is:<br>
><br>
> /usr/bin/suricata -D -c /etc/suricata/suricata.yaml -i bridge1<br>
><br>
><br>
><br>
> ‘bridge1’ is a simple bridge with 2 nics. And we have some Internet<br>
> traffic on it.<br>
><br>
> My ‘suricata.yaml’ file is almost not changed. And my HOME_NET is any.<br>
><br>
> I was using rules from EmergingThreats.<br>
><br>
><br>
><br>
> The following is the backtrace stack may help you.<br>
><br>
><br>
><br>
> Program terminated with signal 11, Segmentation fault.<br>
><br>
> [New process 2725]<br>
><br>
> [New process 2661]<br>
><br>
> [New process 2726]<br>
><br>
> [New process 2728]<br>
><br>
> [New process 2729]<br>
><br>
> [New process 2724]<br>
><br>
> [New process 2727]<br>
><br>
> [New process 2722]<br>
><br>
> [New process 2720]<br>
><br>
> [New process 2721]<br>
><br>
> [New process 2723]<br>
><br>
> #0  0x0810b759 in SCACSearch (mpm_ctx=0xc42bf48,<br>
> mpm_thread_ctx=0xcde8cac, pmq=0xcde8cc4, buf=0x0, buflen=28919) at<br>
> util-mpm-ac.c:1232<br>
><br>
> 1232    util-mpm-ac.c: No such file or directory.<br>
><br>
>         in util-mpm-ac.c<br>
><br>
> (gdb) bt<br>
><br>
> #0  0x0810b759 in SCACSearch (mpm_ctx=0xc42bf48,<br>
> mpm_thread_ctx=0xcde8cac, pmq=0xcde8cc4, buf=0x0, buflen=28919) at<br>
> util-mpm-ac.c:1232<br>
><br>
> #1  0x08090047 in HttpServerBodyPatternSearch (det_ctx=0xcde8c58,<br>
> body=0x0, body_len=<value optimized out>, flags=10 '\n')<br>
><br>
>     at detect-engine-mpm.c:359<br>
><br>
> #2  0x0809cbfa in DetectEngineRunHttpServerBodyMpm (de_ctx=0xb2231c8,<br>
> det_ctx=0xcde8c58, f=0x4979c198, htp_state=0x7e21f350,<br>
><br>
>     flags=10 '\n') at detect-engine-hsbd.c:248<br>
><br>
> #3  0x08077a8a in SigMatchSignatures (th_v=0xb6fa7b30, de_ctx=0xb2231c8,<br>
> det_ctx=0xcde8c58, p=0xadcb980) at detect.c:1264<br>
><br>
> #4  0x08077b72 in Detect (tv=0xb6fa7b30, p=0xadcb980, data=0xcde8c58,<br>
> pq=0xb6fa7ca8, postpq=0x0) at detect.c:1995<br>
><br>
> #5  0x0814e234 in TmThreadsSlotVarRun (tv=0xb6fa7b30, p=0xadcb980,<br>
> slot=0xb6fa7bb0) at tm-threads.c:508<br>
><br>
> #6  0x0814e4ec in TmThreadsSlotVar (td=0xb6fa7b30) at tm-threads.c:732<br>
><br>
> #7  0xb765d4c0 in start_thread () from /lib/i686/cmov/libpthread.so.0<br>
><br>
> #8  0xb759484e in clone () from /lib/i686/cmov/libc.so.6<br>
><br>
> (gdb)<br>
><br>
><br>
><br>
><br>
><br>
> The following is the other one:<br>
><br>
><br>
><br>
> Program terminated with signal 11, Segmentation fault.<br>
><br>
> [New process 28453]<br>
><br>
> [New process 28456]<br>
><br>
> [New process 28455]<br>
><br>
> [New process 28421]<br>
><br>
> [New process 28458]<br>
><br>
> [New process 28457]<br>
><br>
> [New process 28454]<br>
><br>
> [New process 28451]<br>
><br>
> [New process 28450]<br>
><br>
> [New process 28459]<br>
><br>
> [New process 28452]<br>
><br>
> #0  0xb78996d3 in table_add () from /usr/lib/libhtp-0.2.so.1<br>
><br>
> (gdb) bt<br>
><br>
> #0  0xb78996d3 in table_add () from /usr/lib/libhtp-0.2.so.1<br>
><br>
> #1  0xb78960e4 in htp_process_response_header_generic () from<br>
> /usr/lib/libhtp-0.2.so.1<br>
><br>
> #2  0xb789c389 in htp_connp_RES_HEADERS () from /usr/lib/libhtp-0.2.so.1<br>
><br>
> #3  0xb789b4e9 in htp_connp_res_data () from /usr/lib/libhtp-0.2.so.1<br>
><br>
> #4  0x08186030 in HTPHandleResponseData (f=0x670c6f00,<br>
> htp_state=0x9f122e8, pstate=0xb1eac20,<br>
><br>
>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>
> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>
> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>
> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173,<br>
><br>
>     local_data=0x0, output=0xb322d800) at app-layer-htp.c:750<br>
><br>
> #5  0x0817fba6 in AppLayerDoParse (local_data=0x0, f=0x670c6f00,<br>
> app_layer_state=0x9f122e8, parser_state=0xb1eac20,<br>
><br>
>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>
> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>
> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>
> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173,<br>
><br>
>     parser_idx=<value optimized out>, proto=1) at app-layer-parser.c:726<br>
><br>
> #6  0x0817fea1 in AppLayerParse (local_data=0x0, f=0x670c6f00,<br>
> proto=<value optimized out>, flags=10 '\n',<br>
><br>
>     input=0xb322d8e0 "HTTP/1.1 302 Found\r\nDate: Thu, 29 Nov 2012<br>
> 02:25:50 GMT\r\nServer: Tencent Login Server/2.0.0\r\nLocation:<br>
> <a href="http://www.qq.com" target="_blank">http://www.qq.com</a>\r\nConnection: Close\r\nContent-Type:<br>
> text/html\r\n\r\n0\r\n\r\nring .logo { background-pos"..., input_len=173)<br>
><br>
>     at app-layer-parser.c:935<br>
><br>
> #7  0x0816d5f7 in StreamTcpReassembleAppLayer (tv=0xb70007f0,<br>
> ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1b8c, p=0x99e3db0)<br>
><br>
>     at stream-tcp-reassemble.c:2942<br>
><br>
> #8  0x0816d813 in StreamTcpReassembleHandleSegmentUpdateACK<br>
> (tv=0xb70007f0, ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1b8c,<br>
><br>
>     p=0x99e3db0) at stream-tcp-reassemble.c:3310<br>
><br>
> #9  0x0816f2df in StreamTcpReassembleHandleSegment (tv=0xb70007f0,<br>
> ra_ctx=0xb2900c28, ssn=0x3d4b1b88, stream=0x3d4b1bc4, p=0x99e3db0,<br>
><br>
>     pq=0xb2900500) at stream-tcp-reassemble.c:3384<br>
><br>
> #10 0x08168ac3 in StreamTcpPacketStateFinWait1 (tv=0xb70007f0,<br>
> p=0x99e3db0, stt=0xb29004f8, ssn=0x3d4b1b88, pq=0xb2900500)<br>
><br>
>     at stream-tcp.c:2264<br>
><br>
> #11 0x0816a1af in StreamTcpPacket (tv=0xb70007f0, p=0x99e3db0,<br>
> stt=0xb29004f8, pq=0xb7000890) at stream-tcp.c:3517<br>
><br>
> #12 0x0816b3ff in StreamTcp (tv=0xb70007f0, p=0x99e3db0,<br>
> data=0xb29004f8, pq=0xb7000890, postpq=0xb70008e4) at stream-tcp.c:3752<br>
><br>
> #13 0x0814e234 in TmThreadsSlotVarRun (tv=0xb70007f0, p=0x99e3db0,<br>
> slot=0xb7000870) at tm-threads.c:508<br>
><br>
> #14 0x0814e4ec in TmThreadsSlotVar (td=0xb70007f0) at tm-threads.c:732<br>
><br>
> #15 0xb78184c0 in start_thread () from /lib/i686/cmov/libpthread.so.0<br>
><br>
> #16 0xb774f84e in clone () from /lib/i686/cmov/libc.so.6<br>
><br>
> (gdb)<br>
><br>
><br>
><br>
><br>
><br>
> For the coredump file is very large (>3GB), so if you want more<br>
> information please reply me. I am happy to see the improvement of suricata.<br>
<br>
</div></div>Are you on 32bit or 64bit? It may be a out of memory issue if you're on<br>
32bit. The 3gb core file is pretty much the max memory size for 32bit I<br>
think.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
_______________________________________________<br>
Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Participate: <a href="http://suricata-ids.org/participate/" target="_blank">http://suricata-ids.org/participate/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
Redmine: <a href="https://redmine.openinfosecfoundation.org/" target="_blank">https://redmine.openinfosecfoundation.org/</a><br>
</font></span></blockquote></div><br></div>