<div dir="ltr">Hi,<div><br></div><div>I am not sure if I should post my question here. If not, please let me know where to post... thanks.</div><div><br></div><div>I have a web server (CentOS 6) and also have suricata running on it in IPS mode:</div><div><br></div><div># suricata -D -q 0</div><div><br></div><div>I have configured the rules with oinkmaster and have replaced all "ALERT" to "DROP".</div><div>And I have configured iptables so that all traffic goes to suricata:</div><div><div><br></div><div>Chain INPUT (policy ACCEPT 0 packets, 0 bytes)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div>    8   464 IPS        all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a></div></div><div><br></div><div><div>Chain IPS (9 references)</div><div> pkts bytes target     prot opt in     out     source               destination</div><div>    8   464 NFQUEUE    all  --  *      *       <a href="http://0.0.0.0/0">0.0.0.0/0</a>            <a href="http://0.0.0.0/0">0.0.0.0/0</a>           NFQUEUE num 0</div></div><div><br></div><div><br></div><div>I have my apache / php web application running, which communicates with a mongodb on a remote server.</div><div>Then there happened the problem: clients can access the web server at the beginning; but after several http requests, the browser stops to respond and ends in timeout.</div><div><br></div><div>eve.json shows something like this:</div><div><br></div><div><div>{</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>"timestamp": "2017-02-15T00:01:53.000341+0900",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>"flow_id": 2133944226238351,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>"event_type": "flow",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>"src_ip": "CLIENT IP ADDRESS",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>"src_port": 50951,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>"dest_ip": "MY WEB SERVER IP ADDRESS",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>"dest_port": 80,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>"proto": "TCP",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>"flow": {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">            </span>"pkts_toserver": 5,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">          </span>"pkts_toclient": 0,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">          </span>"bytes_toserver": 224,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">               </span>"bytes_toclient": 0,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>"start": "2017-02-15T00:00:35.151439+0900",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">                </span>"end": "2017-02-15T00:00:51.109046+0900",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">          </span>"age": 16,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">           </span>"state": "new",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">            </span>"reason": "timeout"</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>},</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>"tcp": {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">             </span>"tcp_flags": "13",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>"tcp_flags_ts": "13",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>"tcp_flags_tc": "00",</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>"syn": true,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>"fin": true,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>"ack": true,</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">         </span>"state": "syn_sent"</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>}</div><div>}</div></div><div><br></div><div>Although I have enabled the drop log, there is nothing in the drop log.</div><div>However when looking at /var/log/suricata/stats.log, there was "ips.blocked".</div><div><br></div><div><div>ips.accepted                               | Total                     | 1326</div><div>ips.blocked                                | Total                     | 189</div></div><div><br></div><div>I thought "ips.blocked" = "dropped", but it was not...</div><div><br></div><div>Have anyone experienced this and could point out what I should check?</div><div>Thank you!</div><div><br></div><div>Regards,</div><div>Jins</div><div><br></div><div><br></div><div><br></div><div><br></div></div>