<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
</head>
<body class='hmmessage'>
<div>Hi will,</div><div><br></div><div>Here are all of my config:</div><div><br></div><div>[IPFW script]</div><div>#!/bin/sh</div><div><br></div><div>ipfw -q -f flush</div><div>ipfw -q zero</div><div>ipfw -q resetlog</div><div><br></div><div>ipfw add 010 divert 8000 ip from any to any via em0</div><div><br></div><div>[Kernel compiled with]</div><div><div>options &nbsp; &nbsp; &nbsp; &nbsp; DUMMYNET</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPDIVERT</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; LIBALIAS</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL_NAT</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL_FORWARD</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL_VERBOSE</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL_VERBOSE_LIMIT=5</div><div>options &nbsp; &nbsp; &nbsp; &nbsp; IPFIREWALL_DEFAULT_TO_ACCEPT</div></div><div><br></div><div>[Sysctl]</div><div><div>net.link.bridge.ipfw=1</div><div>net.inet.ip.fw.one_pass=0</div></div><div>net.bpf.zerocopy_enable=1</div><div><br></div><div>[My Suricata yaml config]</div><div><div>core# cat suricata.old &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; /usr/local/etc/suricata</div><div>%YAML 1.1</div><div>---</div><div><br></div><div>max-pending-packets: 50</div><div><br></div><div>action-order:</div><div>&nbsp;&nbsp;- pass</div><div>&nbsp;&nbsp;- drop</div><div>&nbsp;&nbsp;- reject</div><div>&nbsp;&nbsp;- alert</div><div><br></div><div><br></div><div>default-log-dir: /var/log/</div><div><br></div><div>outputs:</div><div>&nbsp;&nbsp;- fast:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;enabled: yes</div><div>&nbsp;&nbsp; &nbsp; &nbsp;filename: fast.log</div><div><br></div><div>&nbsp;&nbsp;- http-log:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;enabled: no</div><div>&nbsp;&nbsp; &nbsp; &nbsp;filename: http.log</div><div><br></div><div><br></div><div><br></div><div>defrag:</div><div>&nbsp;&nbsp;max-frags: 65535</div><div>&nbsp;&nbsp;prealloc: yes</div><div>&nbsp;&nbsp;timeout: 60</div><div><br></div><div># threshold-file: /etc/suricata/threshold.config</div><div><br></div><div># The detection engine builds internal groups of signatures. The engine</div><div># allow us to specify the profile to use for them, to manage memory on an</div><div># efficient way keeping a good performance. For the profile keyword you</div><div># can use the words "low", "medium", "high" or "custom". If you use custom</div><div># make sure to define the values at "- custom-values" as your convenience.</div><div># Usually you would prefer medium/high/low</div><div>detect-engine:</div><div>&nbsp;&nbsp;- profile: high</div><div>&nbsp;&nbsp;- custom-values:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toclient_src_groups: 2</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toclient_dst_groups: 2</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toclient_sp_groups: 2</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toclient_dp_groups: 3</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toserver_src_groups: 2</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toserver_dst_groups: 4</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toserver_sp_groups: 2</div><div>&nbsp;&nbsp; &nbsp; &nbsp;toserver_dp_groups: 25</div><div><br></div><div>threading:</div><div>&nbsp;&nbsp;set_cpu_affinity: no</div><div>&nbsp;&nbsp;detect_thread_ratio: 1.5</div><div><br></div><div># Select the multi pattern algorithm you want to run for scan/search the</div><div># in the engine. The supported algorithms are b2g, b3g and wumanber.</div><div>#</div><div>mpm-algo: b2g</div><div><br></div><div>pattern-matcher:</div><div>&nbsp;&nbsp;- b2g:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;scan_algo: B2gScanBNDMq</div><div>&nbsp;&nbsp; &nbsp; &nbsp;search_algo: B2gSearchBNDMq</div><div>&nbsp;&nbsp; &nbsp; &nbsp;hash_size: low</div><div>&nbsp;&nbsp; &nbsp; &nbsp;bf_size: medium</div><div># &nbsp;- b3g:</div><div># &nbsp; &nbsp; &nbsp;scan_algo: B3gScanBNDMq</div><div># &nbsp; &nbsp; &nbsp;search_algo: B3gSearchBNDMq</div><div># &nbsp; &nbsp; &nbsp;hash_size: low</div><div># &nbsp; &nbsp; &nbsp;bf_size: medium</div><div># &nbsp;- wumanber:</div><div># &nbsp; &nbsp; &nbsp;hash_size: low</div><div># &nbsp; &nbsp; &nbsp;bf_size: medium</div><div><br></div><div>flow:</div><div>&nbsp;&nbsp;memcap: 33554432</div><div>&nbsp;&nbsp;hash_size: 65536</div><div>&nbsp;&nbsp;prealloc: 10000</div><div>&nbsp;&nbsp;emergency_recovery: 30</div><div>&nbsp;&nbsp;prune_flows: 5</div><div><br></div><div>flow-timeouts:</div><div><br></div><div>&nbsp;&nbsp;default:</div><div>&nbsp;&nbsp; &nbsp;new: 30</div><div>&nbsp;&nbsp; &nbsp;established: 300</div><div>&nbsp;&nbsp; &nbsp;closed: 0</div><div>&nbsp;&nbsp; &nbsp;emergency_new: 10</div><div>&nbsp;&nbsp; &nbsp;emergency_established: 100</div><div>&nbsp;&nbsp; &nbsp;emergency_closed: 0</div><div>&nbsp;&nbsp;tcp:</div><div>&nbsp;&nbsp; &nbsp;new: 60</div><div>&nbsp;&nbsp; &nbsp;established: 3600</div><div>&nbsp;&nbsp; &nbsp;closed: 120</div><div>&nbsp;&nbsp; &nbsp;emergency_new: 10</div><div>&nbsp;&nbsp; &nbsp;emergency_established: 300</div><div>&nbsp;&nbsp; &nbsp;emergency_closed: 20</div><div>&nbsp;&nbsp;udp:</div><div>&nbsp;&nbsp; &nbsp;new: 30</div><div>&nbsp;&nbsp; &nbsp;established: 300</div><div>&nbsp;&nbsp; &nbsp;emergency_new: 10</div><div>&nbsp;&nbsp; &nbsp;emergency_established: 100</div><div>&nbsp;&nbsp;icmp:</div><div>&nbsp;&nbsp; &nbsp;new: 30</div><div>&nbsp;&nbsp; &nbsp;established: 300</div><div>&nbsp;&nbsp; &nbsp;emergency_new: 10</div><div>&nbsp;&nbsp; &nbsp;emergency_established: 100</div><div><br></div><div>stream:</div><div>&nbsp;&nbsp; memcap: 33554432 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 32mb tcp session memcap</div><div>&nbsp;&nbsp; max_sessions: 262144 &nbsp; &nbsp; &nbsp; &nbsp;# 256k concurrent sessions</div><div>&nbsp;&nbsp; prealloc_sessions: 32768 &nbsp; &nbsp;# 32k sessions prealloc'd</div><div>&nbsp;&nbsp; midstream: false &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# don't allow midstream session pickups</div><div>&nbsp;&nbsp; async_oneside: false &nbsp; &nbsp; &nbsp; &nbsp;# don't enable async stream handling</div><div>&nbsp;&nbsp; reassembly:</div><div>&nbsp;&nbsp; &nbsp; memcap: 67108864 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 64mb tcp reassembly memcap</div><div>&nbsp;&nbsp; &nbsp; depth: 1048576 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# 1 MB reassembly depth</div><div><br></div><div>logging:</div><div>&nbsp;&nbsp;default-log-level: info</div><div>&nbsp;&nbsp;#default-log-format: "[%i] %t - (%f:%l) &lt;%d&gt; (%n) -- "</div><div>&nbsp;&nbsp;default-output-filter:</div><div><br></div><div>&nbsp;&nbsp;outputs:</div><div>&nbsp;&nbsp;- console:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;enabled: no</div><div>&nbsp;&nbsp;- file:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;enabled: yes</div><div>&nbsp;&nbsp; &nbsp; &nbsp;filename: /var/log/suricata.log</div><div>&nbsp;&nbsp;- syslog:</div><div>&nbsp;&nbsp; &nbsp; &nbsp;enabled: no</div><div>&nbsp;&nbsp; &nbsp; &nbsp;facility: local5</div><div>&nbsp;&nbsp; &nbsp; &nbsp;format: "[%i] &lt;%d&gt; -- "</div><div><br></div><div>ipfw:</div><div><br></div><div>&nbsp;&nbsp;ipfw-reinjection-rule-number: 011</div><div><br></div><div>default-rule-path: /usr/local/etc/suricata/rules/</div><div>rule-files:</div><div># - attack-responses.rules</div><div># - backdoor.rules</div><div># - bad-traffic.rules</div><div># - chat.rules</div><div># - ddos.rules</div><div># - deleted.rules</div><div># - dns.rules</div><div># - dos.rules</div><div># - experimental.rules</div><div># - exploit.rules</div><div># - finger.rules</div><div># - ftp.rules</div><div># - icmp-info.rules</div><div># - icmp.rules</div><div># - imap.rules</div><div># - info.rules</div><div>&nbsp;&nbsp;- local.rules</div><div># - misc.rules</div><div># - multimedia.rules</div><div># - mysql.rules</div><div># - netbios.rules</div><div># - nntp.rules</div><div># - oracle.rules</div><div># - other-ids.rules</div><div># - p2p.rules</div><div># - policy.rules</div><div># - pop2.rules</div><div># - pop3.rules</div><div># - porn.rules</div><div># - rpc.rules</div><div># - rservices.rules</div><div># - scada.rules</div><div># - scan.rules</div><div># - shellcode.rules</div><div># - smtp.rules</div><div># - snmp.rules</div><div># - specific-threats.rules</div><div># - spyware-put.rules</div><div># - sql.rules</div><div># - telnet.rules</div><div># - tftp.rules</div><div># - virus.rules</div><div># - voip.rules</div><div># - web-activex.rules</div><div># - web-attacks.rules</div><div># - web-cgi.rules</div><div># - web-client.rules</div><div># - web-coldfusion.rules</div><div># - web-frontpage.rules</div><div># - web-iis.rules</div><div># - web-misc.rules</div><div># - web-php.rules</div><div># - x11.rules</div><div># - emerging-attack_response.rules</div><div># - emerging-dos.rules</div><div># - emerging-exploit.rules</div><div># - emerging-game.rules</div><div># - emerging-inappropriate.rules</div><div># - emerging-malware.rules</div><div># - emerging-p2p.rules</div><div># - emerging-policy.rules</div><div># - emerging-scan.rules</div><div># - emerging-virus.rules</div><div># - emerging-voip.rules</div><div># - emerging-web.rules</div><div># - emerging-web_client.rules</div><div># - emerging-web_server.rules</div><div># - emerging-web_specific_apps.rules</div><div># - emerging-user_agents.rules</div><div># - emerging-current_events.rules</div><div><br></div><div>classification-file: /usr/local/etc/suricata/classification.config</div><div><br></div><div>vars:</div><div><br></div><div>&nbsp;&nbsp;address-groups:</div><div><br></div><div>&nbsp;&nbsp; &nbsp;HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]"</div><div>&nbsp;&nbsp; &nbsp;EXTERNAL_NET: any</div><div>&nbsp;&nbsp; &nbsp;HTTP_SERVERS: "$HOME_NET"</div><div>&nbsp;&nbsp; &nbsp;SMTP_SERVERS: "$HOME_NET"</div><div>&nbsp;&nbsp; &nbsp;SQL_SERVERS: "$HOME_NET"</div><div>&nbsp;&nbsp; &nbsp;DNS_SERVERS: "$HOME_NET"</div><div>&nbsp;&nbsp; &nbsp;TELNET_SERVERS: "$HOME_NET"</div><div>&nbsp;&nbsp; &nbsp;AIM_SERVERS: any</div><div><br></div><div>&nbsp;&nbsp;port-groups:</div><div>&nbsp;&nbsp; &nbsp;HTTP_PORTS: "80"</div><div>&nbsp;&nbsp; &nbsp;SHELLCODE_PORTS: "!80"</div><div>&nbsp;&nbsp; &nbsp;ORACLE_PORTS: 1521</div><div>&nbsp;&nbsp; &nbsp;SSH_PORTS: 22</div><div><br></div><div># Host specific policies for defragmentation and TCP stream</div><div># reassembly. &nbsp;The host OS lookup is done using a radix tree, just</div><div># like a routing table so the most specific entry matches.</div><div>host-os-policy:</div><div>&nbsp;&nbsp;# Make the default policy windows.</div><div>&nbsp;&nbsp;windows: [0.0.0.0/0]</div><div>&nbsp;&nbsp;bsd: []</div><div>&nbsp;&nbsp;bsd_right: []</div><div>&nbsp;&nbsp;old_linux: []</div><div>&nbsp;&nbsp;linux: [10.0.0.0/8, 192.168.1.100, "8762:2352:6241:7245:E000:0000:0000:0000"]</div><div>&nbsp;&nbsp;old_solaris: []</div><div>&nbsp;&nbsp;solaris: ["::1"]</div><div>&nbsp;&nbsp;hpux10: []</div><div>&nbsp;&nbsp;hpux11: []</div><div>&nbsp;&nbsp;irix: []</div><div>&nbsp;&nbsp;macos: []</div><div>&nbsp;&nbsp;vista: []</div><div>&nbsp;&nbsp;windows2k3: []</div><div><br></div><div>###########################################################################</div><div># Configure libhtp.</div><div>#</div><div>#</div><div># default-config: &nbsp;Used when no server-config matches</div><div># &nbsp; personality: &nbsp; List of personalities used by default</div><div>#</div><div># server-config: &nbsp; List of server configurations to use if address matches</div><div># &nbsp; address: &nbsp; &nbsp; &nbsp; List of ip addresses or networks for this block</div><div># &nbsp; personalitiy: &nbsp;List of personalities used by this block</div><div>#</div><div># Currently Available Personalities:</div><div># &nbsp; Minimal</div><div># &nbsp; Generic</div><div># &nbsp; IDS (default)</div><div># &nbsp; IIS_4_0</div><div># &nbsp; IIS_5_0</div><div># &nbsp; IIS_5_1</div><div># &nbsp; IIS_6_0</div><div># &nbsp; IIS_7_0</div><div># &nbsp; IIS_7_5</div><div># &nbsp; Apache</div><div># &nbsp; Apache_2_2</div><div>###########################################################################</div><div>libhtp:</div><div><br></div><div>&nbsp;&nbsp; default-config:</div><div>&nbsp;&nbsp; &nbsp; personality: IDS</div><div><br></div><div>&nbsp;&nbsp; server-config:</div><div><br></div><div>&nbsp;&nbsp; &nbsp; - apache:</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; address: [192.168.1.0/24, 127.0.0.0/8, "::1"]</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; personality: Apache_2_2</div><div><br></div><div>&nbsp;&nbsp; &nbsp; - iis7:</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; address:</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; - 192.168.0.0/24</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; &nbsp; - 192.168.10.0/24</div><div>&nbsp;&nbsp; &nbsp; &nbsp; &nbsp; personality: IIS_7_0</div><div><br></div><div>profiling:</div><div><br></div><div>&nbsp;&nbsp;rules:</div><div><br></div><div>&nbsp;&nbsp; &nbsp;enabled: yes</div><div><br></div><div>&nbsp;&nbsp; &nbsp;# Sort options: ticks, avgticks, checks, matches</div><div>&nbsp;&nbsp; &nbsp;sort: avgticks</div><div><br></div><div>&nbsp;&nbsp; &nbsp;# Limit the number of items printed at exit.</div><div>&nbsp;&nbsp; &nbsp;limit: 100</div></div><div><br></div><div><br></div><div>[Console Error while visiting www.engadget.com]</div><div><div>[100186] 1/8/2010 -- 14:12:55 - (suricata.c:403) &lt;Info&gt; (main) -- This is Suricata version 1.0.1</div><div>[100186] 1/8/2010 -- 14:12:55 - (util-cpu.c:167) &lt;Info&gt; (UtilCpuPrintSummary) -- CPUs Summary:</div><div>[100186] 1/8/2010 -- 14:12:55 - (util-cpu.c:169) &lt;Info&gt; (UtilCpuPrintSummary) -- CPUs online: 2</div><div>[100186] 1/8/2010 -- 14:12:55 - (util-cpu.c:171) &lt;Info&gt; (UtilCpuPrintSummary) -- CPUs configured 2</div><div>Warning: Output_interface not supplied by user. &nbsp;Falling back on default_output_interface "Console"</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "AlertFastLog" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "AlertDebugLog" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "AlertUnifiedLog" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "AlertUnifiedAlert" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "Unified2Alert" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (output.c:60) &lt;Info&gt; (OutputRegisterModule) -- Output module "LogHttpLog" registered.</div><div>[100186] 1/8/2010 -- 14:12:56 - (suricata.c:997) &lt;Info&gt; (main) -- preallocated 50 packets. Total memory 4016400</div><div>[100186] 1/8/2010 -- 14:12:56 - (flow.c:746) &lt;Info&gt; (FlowInitConfig) -- initializing flow engine...</div><div>[100186] 1/8/2010 -- 14:12:56 - (flow.c:833) &lt;Info&gt; (FlowInitConfig) -- allocated 1048576 bytes of memory for the flow hash... 65536 buckets of size 16</div><div>[100186] 1/8/2010 -- 14:12:56 - (flow.c:852) &lt;Info&gt; (FlowInitConfig) -- preallocated 10000 flows of size 248</div><div>[100186] 1/8/2010 -- 14:12:56 - (flow.c:854) &lt;Info&gt; (FlowInitConfig) -- flow memory usage: 3528576 bytes, maximum: 33554432</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:387) &lt;Info&gt; (SigLoadSignatures) -- 1 rule files processed. 7 rules succesfully loaded, 0 rules failed</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect-engine-sigorder.c:829) &lt;Info&gt; (SCSigOrderSignatures) -- ordering signatures in memory</div><div>SCSigOrderSignatures: Total Signatures to be processed by thesigordering module: 8</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect-engine-sigorder.c:870) &lt;Info&gt; (SCSigOrderSignatures) -- total signatures reordered by the sigordering module: 8</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:1480) &lt;Info&gt; (SigAddressPrepareStage1) -- 8 signatures processed. 0 are IP-only rules, 5 are inspecting packet payload, 0 inspect application layer, 0 are decoder event only</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:1483) &lt;Info&gt; (SigAddressPrepareStage1) -- building signature grouping structure, stage 1: adding signatures to signature source addresses... done</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:1968) &lt;Info&gt; (SigAddressPrepareStage2) -- building signature grouping structure, stage 2: building source address lists...</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2037) &lt;Info&gt; (SigAddressPrepareStage2) -- 8 total signatures:</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2058) &lt;Info&gt; (SigAddressPrepareStage2) -- TCP Source address blocks: &nbsp; &nbsp; any: &nbsp; &nbsp;1, ipv4: &nbsp; &nbsp;9, ipv6: &nbsp; &nbsp;1.</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2078) &lt;Info&gt; (SigAddressPrepareStage2) -- UDP Source address blocks: &nbsp; &nbsp; any: &nbsp; &nbsp;2, ipv4: &nbsp; 14, ipv6: &nbsp; &nbsp;2.</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2098) &lt;Info&gt; (SigAddressPrepareStage2) -- ICMP Source address blocks: &nbsp; &nbsp;any: &nbsp; &nbsp;2, ipv4: &nbsp; &nbsp;2, ipv6: &nbsp; &nbsp;2.</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2102) &lt;Info&gt; (SigAddressPrepareStage2) -- building signature grouping structure, stage 2: building source address list... done</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2681) &lt;Info&gt; (SigAddressPrepareStage3) -- building signature grouping structure, stage 3: building destination address lists...</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2764) &lt;Info&gt; (SigAddressPrepareStage3) -- MPM memory 290983 (dynamic 290343, ctxs 640, avg per ctx 15281)</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2766) &lt;Info&gt; (SigAddressPrepareStage3) -- max sig id 8, array size 2</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2767) &lt;Info&gt; (SigAddressPrepareStage3) -- signature group heads: unique 15, copies 94.</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2769) &lt;Info&gt; (SigAddressPrepareStage3) -- MPM instances: 19 unique, copies 11 (none 0).</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2771) &lt;Info&gt; (SigAddressPrepareStage3) -- MPM (URI) instances: 1 unique, copies 14 (none 0).</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2772) &lt;Info&gt; (SigAddressPrepareStage3) -- MPM max patcnt 3, avg 0</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2775) &lt;Info&gt; (SigAddressPrepareStage3) -- port maxgroups: 40, avg 21, tot 525</div><div>[100186] 1/8/2010 -- 14:12:56 - (detect.c:2776) &lt;Info&gt; (SigAddressPrepareStage3) -- building signature grouping structure, stage 3: building destination address lists... done</div><div>[100186] 1/8/2010 -- 14:12:56 - (util-profiling.c:311) &lt;Info&gt; (SCProfilingInitRuleCounters) -- Registered 8 rule profiling counters.</div><div><br></div><div>[100186] 1/8/2010 -- 14:12:56 - (util-threshold-config.c:104) &lt;Error&gt; (SCThresholdConfInitContext) -- [ERRCODE: SC_ERR_FOPEN(44)] - Error opening file: "threshold.config": No such file or directory</div><div>[100186] 1/8/2010 -- 14:12:56 - (alert-fastlog.c:333) &lt;Info&gt; (AlertFastLogInitCtx) -- Fast log output initialized, filename: fast.log</div><div>[100125] 1/8/2010 -- 14:12:56 - (source-ipfw.c:302) &lt;Info&gt; (ReceiveIPFWThreadInit) -- Using IPFW divert port 8000</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:365) &lt;Info&gt; (StreamTcpInitConfig) -- stream "max_sessions": 262144</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:377) &lt;Info&gt; (StreamTcpInitConfig) -- stream "prealloc_sessions": 32768</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:387) &lt;Info&gt; (StreamTcpInitConfig) -- stream "memcap": 33554432</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:394) &lt;Info&gt; (StreamTcpInitConfig) -- stream "midstream" session pickups: disabled</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:402) &lt;Info&gt; (StreamTcpInitConfig) -- stream "async_oneside": disabled</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:411) &lt;Info&gt; (StreamTcpInitConfig) -- stream.reassembly "memcap": 67108864</div><div>[100186] 1/8/2010 -- 14:12:56 - (stream-tcp.c:420) &lt;Info&gt; (StreamTcpInitConfig) -- stream.reassembly "depth": 1048576</div><div>[100186] 1/8/2010 -- 14:12:56 - (tm-threads.c:1429) &lt;Info&gt; (TmThreadWaitOnThreadInit) -- all 9 packet processing threads, 3 management threads initialized, engine started.</div><div>[100154] 1/8/2010 -- 14:14:27 - (app-layer-parser.c:931) &lt;Error&gt; (AppLayerParse) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error occured in parsing "http" app layer protocol, using network protocol 6, source IP address 172.25.1.10, destination IP address 64.12.173.101, src port 49459 and dst port 80</div><div>[100154] 1/8/2010 -- 14:15:52 - (app-layer-parser.c:931) &lt;Error&gt; (AppLayerParse) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error occured in parsing "http" app layer protocol, using network protocol 6, source IP address 172.25.1.10, destination IP address 64.12.173.101, src port 49491 and dst port 80</div></div><div><br></div><div><br></div><br><hr id="stopSpelling">From: william.metcalf@gmail.com<br>Date: Sun, 1 Aug 2010 08:54:24 -0500<br>To: shant@skylab.ca<br>CC: oisf-users@openinfosecfoundation.org<br>Subject: Re: [Oisf-users] Suricata - test rule ignored/not dropping.<br><br><div>Can you show us your ipfw rules?</div><div><br></div><div>Regards,</div><div><br></div><div>Will<br><br>Sent from my iPhone</div><div><br>On Aug 1, 2010, at 12:30 AM, Shant Kassardjian &lt;<a href="mailto:shant@skylab.ca">shant@skylab.ca</a>&gt; wrote:<br><br></div><div></div><blockquote><div><div>Let's wait and see what the dev team has to say, it looks like a bug to me.</div><div><br></div><div>It's great to see I'm not the only one with this problem.</div><div><br>Sent from my iPad</div><div><br>On 2010-07-31, at 6:07 PM, "Anas.B" &lt;<a href="mailto:a.bouhsaina@gmail.com"></a><a href="mailto:a.bouhsaina@gmail.com">a.bouhsaina@gmail.com</a>&gt; wrote:<br><br></div><div></div><blockquote><div><div dir="ltr">No reply ? any suggestions !!!<br><br><span style="background-color:rgb(255, 255, 255);color:rgb(204, 204, 204)">A...</span><br><br><div class="ecxgmail_quote">2010/7/29 Anas.B <span dir="ltr">&lt;<a href="mailto:a.bouhsaina@gmail.com"></a><a href="mailto:a.bouhsaina@gmail.com"></a><a href="mailto:a.bouhsaina@gmail.com">a.bouhsaina@gmail.com</a>&gt;</span><br>
<blockquote class="ecxgmail_quote" style="padding-left:1ex"><div dir="ltr">I had this in the CLI,<br><br>[2115] 29/7/2010 -- 09:37:06 - (app-layer-htp.c:479) &lt;Error&gt; (HTPHandleResponseData) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error in parsing HTTP server response: [1] [htp_response.c] [671] Unable to match response to request<br>

[2115] 29/7/2010 -- 09:37:06 - (app-layer-parser.c:931) &lt;Error&gt; (AppLayerParse) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error occured in parsing "http" app layer protocol, using network protocol 6, source IP address 172.20.80.100, destination IP address 66.249.92.104, src port 1425 and dst port 80<br>

<br>is it a bug !!?<br></div>
</blockquote></div><br></div>
</div></blockquote><blockquote><div><span>_______________________________________________</span><br><span>Oisf-users mailing list</span><br><span><a href="mailto:Oisf-users@openinfosecfoundation.org"></a><a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a></span><br><span><a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank"></a><a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a></span><br></div></blockquote></div></blockquote><blockquote><div><span>_______________________________________________</span><br><span>Oisf-users mailing list</span><br><span><a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a></span><br><span><a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a></span><br></div></blockquote><br>_______________________________________________
Oisf-users mailing list
Oisf-users@openinfosecfoundation.org
http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users                                               </body>
</html>