
<div>Well actually you don't.</div><div>I  made a mistake, Snort does not reassamble the datagrams.</div><div>But Bro, if you set up a rule on IP protocol (not UDP) does reassamble.</div><div>I don't have time to investigate why Bro has choosen this behaviour, but i'm sure there is a good reason.</div>


<div>Nevertheless, if Suricata does not receive the datagrams or if it receives it in a bad order, my guess is that their are many chances that the final destination won't receive it either, or will receive it in a bad order too.</div>


<div> </div><div>I don't know what should be the correct behaviour here but maybe it is worth to investigate a little.</div><div>Maybe Suricata can reassamble datagrams from the same quadruplet i talked about before based on a timeout that you can configure ?</div>


<div> </div><div>Michel<br></div><div class="gmail_quote">2012/6/20 Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span><br><blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote">


I see. Seems wrong to me though. How do you know 2 datagrams are in<br>

order? How do you know the data is even meant to be "reassembled"?<br>

<div class="im"><br>

On 06/20/2012 09:54 AM, Michel SABORDE wrote:<br>

> I'll share a pcap later in the day.<br>

> But to clarify my request, i'm not talking about IP fragments, i'm<br>

> talking about UDP datagrams not being reassamble.<br>

> If you receive consecutively 2 UDP datagrams from the same quadruplet<br>

> (ip dest / ip source / port dest / port source ), you can usually<br>

> consider them part of the same UDP "session" (even though it's weird to<br>

> talk about "session" with UDP), it is what happen when you put an UDP<br>

> socket in connected mode.<br>

><br>

> I hope it makes more sense now :)<br>

><br>

> Michel<br>

</div>> 2012/6/20 Victor Julien <<a href="mailto:victor@inliniac.net">victor@inliniac.net</a> <mailto:<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>>><br>

<div class="im">><br>

>     On 06/18/2012 11:14 AM, Michel SABORDE wrote:<br>

>     > Hi everyone,<br>

>     ><br>

>     > I set up an alert on UDP to match content:"bad.html"; as i did before<br>

>     > with TCP and i discovered a strange behaviour that may be normal ...<br>

>     > I send all my datagrams from the same ip dest/ip source/port dest/port<br>

>     > source.<br>

>     > If one datagram contains the payload "bad.html" the alert will be<br>

>     > triggered but if you send two datagrams in a row which contains "bad."<br>

>     > and "html", no alert will  be triggered because i think, correct me if<br>

>     > i'm wrong, that Suricata does not reassemble UDP datagrams.<br>

>     > I know that UDP datagrams may not be received, or may be received in a<br>

>     > different order but i think that it would be a nice feature anyway.<br>

>     > I tried Snort and it does that kind of datagrams reassambly.<br>

><br>

>     Our IP defragmentation is done on the IP packet level, so irregardless<br>

>     of what protocol is used. Can you share a pcap?<br>

><br>

>     --<br>

>     ---------------------------------------------<br>

>     Victor Julien<br>

>     <a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

>     PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

>     ---------------------------------------------<br>

><br>

>     _______________________________________________<br>

>     Oisf-users mailing list<br>

>     <a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

</div>>     <mailto:<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a>><br>

>     <a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

<div class="HOEnZb"><div class="h5">><br>

><br>

<br>

<br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

</div></div></blockquote></div><br>