<br><br><div class="gmail_quote">On Fri, Nov 11, 2011 at 11:59 PM, Wenji Wu <span dir="ltr"><<a href="mailto:wuwenji18@gmail.com">wuwenji18@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
I download the pcap data set from: <a href="http://www.itoc.usma.edu/research/dataset/" target="_blank">http://www.itoc.usma.edu/research/dataset/</a>, install the emerging rules, and run suricata,<br><br>I got the following errors:<br>

<br>[9511] 11/11/2011 -- 16:54:42 - (app-layer-htp.c:391) <Error> (HTPHandleRequestData) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error in parsing HTTP client request: [1] [htp_request_generic.c] [154] Request field invalid: colon missing<br>

[9511] 11/11/2011 -- 16:54:42 - (app-layer-parser.c:969) <Error> (AppLayerParse) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error occured in parsing "http" app layer protocol, using network protocol 6, source IP address 10.2.190.254, destination IP address 10.1.60.187, src port 44737 and dst port 80<br>

[9511] 11/11/2011 -- 16:54:42 - (app-layer-htp.c:391) <Error> (HTPHandleRequestData) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error in parsing HTTP client request: [1] [htp_request_generic.c] [154] Request field invalid: colon missing<br>

[9511] 11/11/2011 -- 16:54:42 - (app-layer-parser.c:969) <Error> (AppLayerParse) -- [ERRCODE: SC_ERR_ALPARSER(59)] - Error occured in parsing "http" app layer protocol, using network protocol 6, source IP address 10.2.190.254, destination IP address 10.1.60.187, src port 47764 and dst port 80<br>
<font color="#888888">
<br><br>wenji<br>
</font><br>_______________________________________________<br>
Oisf-users mailing list<br>
<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br></blockquote></div><br>Hi Wenji,<br><br>The "parsing "http" app layer protocol" - err we have seen before, there is a number of reasons for this to occur, it could be "tagged"/VLAN traffic that the interface that Suricata listens to is  not part of , it could be that it can not find the appropriate responses from given ips and others... I think this is more of an "informational" warning than an err.<br>
<br>The "Request field invalid: colon missing" err - i see for the first time.<br><br>It would be useful if you can share a small pcap (not the 12 Gig from the exercise :) ) that by running it we could reproduce the err.<br>
<br>Lets not forget that this is traffic full of "sadness" on purpose...<br><br>Thanks<br><br><br clear="all"><br>-- <br>Peter Manev<br>
<div style="visibility: hidden; left: -5000px;" id="avg_ls_inline_popup"></div>