<div dir="ltr"> Hi everyone,<div><br></div><div>I would like to know the difference between a pre-processor and the detection plugins.</div><div><br></div><div>Correct me if I am wrong: </div><div>  -- Pre-processsor: Preprocessor code is run before the detection engine is called, but after the packet has been decoded. The packet can be modified or analyzed in an out-of-band manner using this mechanism [Snort] </div>

<div><br></div><div style>      __ Does Suricata have any pre processors out-of-the box? Fast-IP matching is mentioned as one: In which module it is implemented ? any examples ?</div><div><br></div><div>  -- Detection plugins: These plugins add the additional functionality to detection. But is this called after the detection engine ? </div>


<div><br></div><div><br></div><div style>I am confused a bit about the efficiency / extra features which the pre-processor have.   </div><div style><br></div><div style>------------</div><div style>I think the <a href="https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Developers_Guide">webpage</a> needs more clear documentation for the beginners.</div>

<div><br clear="all">
<div>--<br>Best Regards,<br>Prabhakaran Kasinathan<br><a href="tel:%2B39%203279720502" value="+393279720502" target="_blank">+39 3279720502</a><br></div>
</div></div>