
<div>I'll share a pcap later in the day.</div><div>But to clarify my request, i'm not talking about IP fragments, i'm talking about UDP datagrams not being reassamble.</div><div>If you receive consecutively 2 UDP datagrams from the same quadruplet (ip dest / ip source / port dest / port source ), you can usually consider them part of the same UDP "session" (even though it's weird to talk about "session" with UDP), it is what happen when you put an UDP socket in connected mode.</div>


<div> </div><div>I hope it makes more sense now :)</div><div> </div><div>Michel<br></div><div class="gmail_quote">2012/6/20 Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net" target="_blank">victor@inliniac.net</a>></span><br>


<blockquote style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid" class="gmail_quote"><div class="HOEnZb"><div class="h5">On 06/18/2012 11:14 AM, Michel SABORDE wrote:<br>


> Hi everyone,<br>

><br>

> I set up an alert on UDP to match content:"bad.html"; as i did before<br>

> with TCP and i discovered a strange behaviour that may be normal ...<br>

> I send all my datagrams from the same ip dest/ip source/port dest/port<br>

> source.<br>

> If one datagram contains the payload "bad.html" the alert will be<br>

> triggered but if you send two datagrams in a row which contains "bad."<br>

> and "html", no alert will  be triggered because i think, correct me if<br>

> i'm wrong, that Suricata does not reassemble UDP datagrams.<br>

> I know that UDP datagrams may not be received, or may be received in a<br>

> different order but i think that it would be a nice feature anyway.<br>

> I tried Snort and it does that kind of datagrams reassambly.<br>

<br>

</div></div>Our IP defragmentation is done on the IP packet level, so irregardless<br>

of what protocol is used. Can you share a pcap?<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

---------------------------------------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>

---------------------------------------------<br>

<br>

_______________________________________________<br>

Oisf-users mailing list<br>

<a href="mailto:Oisf-users@openinfosecfoundation.org">Oisf-users@openinfosecfoundation.org</a><br>

<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>

</font></span></blockquote></div><br>