<div dir="ltr"><span style="font-size:12.8000001907349px"><font color="#000000">Hello,</font></span><div style="font-size:12.8000001907349px"><font color="#000000"><br></font></div><div style="font-size:12.8000001907349px"><font color="#000000">I'm having trouble detecting an app-layer session for a registered port. This only happens when the pcap file I feed to Suricata has the following characteristics/errors as shown below in the Wireshark output below. With a clean pcap file there is no issue.</font></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;color:rgb(80,0,80)"><br></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(255,255,255)"><font color="#000000">The following two packets (21 and 25) from Wireshark capture shows the packets Suricata sees as the first 2 packets for this session. Packet (21) is actually to-server but Suricata classifies it as to-client. </font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000"><br></font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(234,209,220)"><font color="#000000">21 2.927665 192.168.2.8 192.168.2.12 TCP 60[TCP Acked unseen segment] netinfo-local >..</font></span></div><div style="font-size:12.8000001907349px"><span style="color:rgb(0,0,0);font-size:12.8000001907349px;background-color:rgb(234,209,220)">25 3.217648 192.168.2.12 192.168.2.18 TCP 60[TCP Previous segment not captured]</span><span style="color:rgb(0,0,0);font-size:12.8000001907349px;background-color:rgb(243,243,243)"> </span></div><div style="font-size:12.8000001907349px"><span style="font-size:9.5pt"><br></span></div><div style="font-size:12.8000001907349px"><span style="font-size:9.5pt">In the following Suricata log, it shows how packet 25 processing fails to find probing parser for either port even though it logs that it finds the probing parser for source port. I print a DEBUG statement that indicates pp_port_sp->sp = (nil). And then it never even attempts to detect this session again, throughout the run.</span><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000"><br></font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:9.5pt"><br></span></div><p class="MsoNormal" style="font-size:12.8000001907349px"><span style="font-size:9.5pt"></span></p><div style="font-size:12.8000001907349px"><span style="color:rgb(0,0,0);font-size:12.8000001907349px"><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - Entering ... >></span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - Returning: 0 ... <<</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - Returning pointer (nil) of type AppLayerProtoDetectProbingParserPort * ... <<</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - toclient - No probing parser registered for dest port 1033</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - Returning pointer 0x27738b0 of type AppLayerProtoDetectProbingParserPort * ... <<</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - toclient - Probing parser found for source port 20000</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - DEBUG:pp_port_sp->sp = (nil)</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - toclient - No probing parsers found for either port</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - toclient, mask is now 00000000</span></div><div style="font-size:12.8000001907349px"><span style="background-color:rgb(255,217,102)">15/2/2015 -- 09:48:17 - <Debug> - Returning: 0 ... <<</span></div></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000"><br></font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000">Any help would be much appreciated.</font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000"><br></font></span></div><div style="font-size:12.8000001907349px"><span style="font-size:12.8000001907349px;background-color:rgb(243,243,243)"><font color="#000000">Thanks.</font></span></div></div>