<div dir="ltr"><div><div><div><div>Hi,<br><br></div>In this way, if I resend the pcap instantly, the packets may go to the server which suricata protected.<br></div>Is that a new method to bypass the suricata?<br><br></div>
How can I change some source code, whenever a SYN packets comes, we cull the old flow and create a new flow ?<br></div>Thanks.<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jul 15, 2013 at 11:01 PM, Anoop Saldanha <span dir="ltr"><<a href="mailto:anoopsaldanha@gmail.com" target="_blank">anoopsaldanha@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You are reusing the same old flows if you resend the pcap instantly.<br>
The wait gets you the desired result since by then the old flows are<br>
culled.<br>
<br>
Modify flow-timeouts.tcp.[new|established|closed] to a smaller<br>
value(but not small enough that the flow's culled before all packets<br>
are seen from the flow on a single run) and see if that solves it for<br>
you.<br>
<div><div class="h5"><br>
On Mon, Jul 15, 2013 at 7:55 PM, xbadou xbadou <<a href="mailto:xbadou@gmail.com">xbadou@gmail.com</a>> wrote:<br>
> Hi, Peter<br>
><br>
> In my test, I find that when I sleep a while (several minutes) between each<br>
> replay. Then each replay can cause alerts correctly.<br>
><br>
> ‘Correctly’ at here I means that if each replay cause 50 alerts, N times<br>
> replay cause N*50 alerts.<br>
><br>
><br>
><br>
> On Mon, Jul 15, 2013 at 10:12 PM, xbadou xbadou <<a href="mailto:xbadou@gmail.com">xbadou@gmail.com</a>> wrote:<br>
>><br>
>> Hi<br>
>><br>
>> I replay the pcap file which is attached. The pcap file can cause many<br>
>> alerts in fast.log, for example 50 alerts. When I replay it for a second<br>
>> time, I expected there will be 100 alerts in fast.log but it is still 50.<br>
>><br>
>> But when I restart suricata and replay the packet then I can get 100<br>
>> alerts.<br>
>><br>
>><br>
>><br>
>> On Mon, Jul 15, 2013 at 9:50 PM, Peter Manev <<a href="mailto:petermanev@gmail.com">petermanev@gmail.com</a>> wrote:<br>
>>><br>
>>> Hi ,<br>
>>><br>
>>> ><br>
>>> ><br>
>>> ><br>
>>> > On Mon, Jul 15, 2013 at 8:54 PM, xbadou xbadou <<a href="mailto:xbadou@gmail.com">xbadou@gmail.com</a>><br>
>>> > wrote:<br>
>>> >><br>
>>> >> Hi<br>
>>> >><br>
>>> >><br>
>>> >><br>
>>> >> I am using suricata 1.4.2. Today I do a test, but can't get the result<br>
>>> >> I<br>
>>> >> want.<br>
>>> >><br>
>>><br>
>>> What is the result that you want?<br>
>>><br>
>>> >><br>
>>> >><br>
>>> >> I use a computer runing suricata and listen traffic on one interface.<br>
>>> >> On<br>
>>> >> the same time, I use the other PC replaying a pcap file on the<br>
>>> >> interface<br>
>>> >> which connected to the first PC. The pcap file contain some tcp packet<br>
>>> >> which<br>
>>> >> can cause alerts.<br>
>>> >><br>
>>> >><br>
>>> >><br>
>>><br>
>>><br>
>>> What are the alerts that you are seeing and what are the alerts that<br>
>>> you are expecting?<br>
>>><br>
>>><br>
>>><br>
>>> Regards,<br>
>>> Peter Manev<br>
>><br>
>><br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Suricata IDS Devel mailing list: <a href="mailto:oisf-devel@openinfosecfoundation.org">oisf-devel@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Participate:<br>
> <a href="http://suricata-ids.org/participate/" target="_blank">http://suricata-ids.org/participate/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-devel</a><br>
> Redmine: <a href="https://redmine.openinfosecfoundation.org/" target="_blank">https://redmine.openinfosecfoundation.org/</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
-------------------------------<br>
Anoop Saldanha<br>
<a href="http://www.poona.me" target="_blank">http://www.poona.me</a><br>
-------------------------------<br>
</font></span></blockquote></div><br></div>