
<div>Hi Michel,</div>

<div> </div>

<div>If you read the pacaps (-r option, read pcap) from your tests - would the results be the same?</div>

<div>If you would like, you could share privatelly the pcaps with the yaml conf?</div>

<div> </div>

<div>Thanks<br><br></div>

<div class="gmail_quote">On Thu, Mar 29, 2012 at 2:05 PM, Michel SABORDE <span dir="ltr"><<a href="mailto:michel.saborde@gmail.com">michel.saborde@gmail.com</a>></span> wrote:<br>

<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div class="im">

<p>Thanks for your anwswer.</p>

<p>I already looked into everything you mentioned.</p>

<p>I'm doing the three-way handshake and i added the correct ip6tables rule to prevent the kernel from sending the RST.</p>

<p>I also looked into checksums and disabled the checksum_validation from suricata config file, i also checked with wireshark, all the checksums are correct.</p>

<p> </p>

<p>It must be something else.<br><br></p></div>

<div class="gmail_quote">

<div class="im">Le 29 mars 2012 13:39, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> a écrit :<br></div>

<blockquote style="BORDER-LEFT:rgb(204,204,204) 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">also you could try/check - with scapy make sure your checksm-ing is correct.... and it is disabled in the yaml conf 

<div>

<div class="h5">

<div>

<div><br><br>

<div class="gmail_quote">On Thu, Mar 29, 2012 at 1:24 PM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br>

<blockquote style="BORDER-LEFT:rgb(204,204,204) 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div>Hi,</div>

<div> </div>

<div>When you are using the Scapy script - are you doing the three-way handshake with scapy?</div>

<div> </div>

<div>Because if so - there is a rule that you have to add to your iptables , since scapy would send S , the server would return the SA and the kernel/OS would send back a Reject since it never send a S (it is not aware that scapy send it).</div>


<div> </div>

<div>The way around this is to put a iptables rule that would stop the R coming from the client to the www server.</div>

<div> </div>

<div>Also just have a look at the traffic with wireshar/tcpdump to see if that is not the problem.</div>

<div> </div>

<div>Thanks<br><br></div>

<div class="gmail_quote">

<div>

<div>On Thu, Mar 29, 2012 at 12:55 PM, Michel SABORDE <span dir="ltr"><<a href="mailto:michel.saborde@gmail.com" target="_blank">michel.saborde@gmail.com</a>></span> wrote:<br></div></div>

<blockquote style="BORDER-LEFT:rgb(204,204,204) 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">

<div>

<div>

<div>Hello everyone,</div>

<div> </div>

<div>I'm trying to test the IPv6 implementation of suricata so i'm doing a bunch of tests.</div>

<div>For that, i have installed a clean apache2 on a clean server with a single html page called bad.html and i made a simple rule to do an alert if someone tries to access it :</div>

<div> </div>

<div>alert tcp any any <> any any (msg:"[ALERT] bad.html"; content:"bad.html"; nocase; sid:1; rev:1;)<br></div>

<div>If i do a simple access with my browser (iceweasel) from a remote computer, the alert is triggered.</div>

<div>At this point, everything looks fine.</div>

<div> </div>

<div>If i now try to access it "manually" with a scapy script by adding some extension headers, no alert is triggered and i can retrieve the html page.</div>

<div>I tried with :</div>

<div>- Fragmentation header</div>

<div>- Hop-By-Hop header</div>

<div>- Destination header</div>

<div>- Routing header type 0 without any addresses</div>

<div> </div>

<div>I tried to change the rule from tcp to ip :</div>

<div> </div>

<div>

<div>alert ip any any <> any any (msg:"[ALERT] bad.html"; content:"bad.html"; nocase; sid:1; rev:1;)<br></div>

<div>Then, the alert is triggered only with :</div>

<div>

<div>- Hop-By-Hop header</div>

<div>- Destination header</div>

<div>But not with :</div>

<div>- Fragmentation header</div>

<div>- Routing header type 0 without any addresses</div>

<div> </div>

<div>Maybe i missed something in the config file of suricata ?</div>

<div>My opinion is that suricata should always trigger the alert in every case.</div>

<div> </div>

<div>I'm using suricata 1.2.1 on a debian 6.0 with a 2.6.32 kernel.</div>

<div> </div>

<div>Thanks in advance for your help</div></div></div><br></div></div>_______________________________________________<br>Oisf-users mailing list<br><a href="mailto:Oisf-users@openinfosecfoundation.org" target="_blank">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br><br></blockquote></div><span><font color="#888888"><br>

<br clear="all"><br>-- <br>

<div>Regards,</div>

<div>Peter Manev</div><br></font></span></blockquote></div><br><br clear="all"><br></div></div><span><font color="#888888">-- <br>

<div>Regards,</div>

<div>Peter Manev</div><br></font></span></div></div></blockquote></div><br></blockquote></div><br><br clear="all"><br>-- <br>

<div>Regards,</div>

<div>Peter Manev</div><br>