sorry.<br><br>And if the stream-events.rules is not enabled?<br><br>thanks<br><br><div class="gmail_quote">On Thu, Jan 12, 2012 at 9:20 AM, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 01/12/2012 08:51 AM, Peter Manev wrote:<br>
> I guess if you have lots of packet losses there will be lots of http<br>
> parse errs (and not only).... or you can try increasing the anomaly<br>
> counters for example for http, if that is of concearn.<br>
<br>
</div>Actually, this is not how it works.<br>
<br>
If unrecoverable packet loss is encountered (data segments lost) a<br>
stream event is set:<br>
<br>
stream-event:reassembly_seq_gap;<br>
<br>
The stream-events.rules file contains this rule:<br>
<br>
alert tcp any any -> any any (msg:"SURICATA STREAM reassembly sequence<br>
GAP -- missing packet(s)"; stream-event:reassembly_seq_gap; sid:2210048;<br>
rev:1;)<br>
<br>
At this point the http parser lost track and gives up, and so will not<br>
emit errors.<br>
<div class="HOEnZb"><div class="h5"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Peter Manev<br>