
<br><br>

<div class="gmail_quote">On Thu, Feb 16, 2012 at 2:40 PM, Nikolay Denev <span dir="ltr"><<a href="mailto:ndenev@gmail.com">ndenev@gmail.com</a>></span> wrote:<br>

<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div class="im"><br>On Feb 15, 2012, at 5:03 PM, Peter Manev wrote:<br><br>><br>> Ok,<br>> Just a couple of suggestions:<br>> 1. Make the MTU on the suricata box equal the MTU on the switch port where it is connected to.<br>

<br></div>I don't think this is an issue, as all of the other ports are not jumbo frames enabled, and I don't have frames bigger than 1522 bytes.<br>

<div class="im"><br></div></blockquote>

<div> </div>

<div>Ok, I thought you have frames bigger than that...</div>

<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div class="im">> 2. The interface that Suricata listens on (ex. eth0) , does it have all the VLANs untagged there? Or some are tagged and some untagged? Because if not - that might a problem.<br>><br><br></div>I was wrong, there are some untagged packets, but they are mirrored LACP and LLDP frames.<br>

All the IP traffic from the mirrored ports is QinQ tagged, with the outer tag with VLAN 0 and the inner with the actual vlan being mirrored (all the ports that I mirror have only VLAN tagged traffic)<br>Suricata seems to handle this OK, probably ignores the vlan tag?<br>


<div class="HOEnZb">

<div class="h5"><br><br></div></div></blockquote>

<div> </div>

<div>In that case the only discrepancy I see is the reported length of the packet in Suricata and Snorby - to me it looks like Suri reports it correctly (debug log), but Snorby does not. I can not be sure because from what I saw as a screen shot of Snorby , the packet has the same SEQ and ACK number - kind of strange, and the SEQ or ACK number there does not much the one in debug log.... can you please confirm that?</div>


<div> </div>

<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div class="HOEnZb">

<div class="h5">> and if you could check that these two have any different effect ? ...<br>><br>> thanks<br>><br>> --<br>> Regards,<br>> Peter Manev<br>><br><br></div></div></blockquote></div><br>

<br clear="all"><br>-- <br>

<div>Regards,</div>

<div>Peter Manev</div><br>