<div dir="ltr">Cooper,<div><br></div><div>I've redirected traffic via tcpdump -> box1 netcat -> box2 netcat listener -> pipe -> suricata (pretty hackish, I know!)</div><div><br></div><div>I remember it working without issue. Not quite the same task, but perhaps similar enough.</div>

<div><br></div><div>Here's the related commands from my .bash_history</div><div><br></div><div><div>nc -l 10101 > temp.pcap &</div><div>/usr/local/bin/suricata -c /usr/local/etc/suricata/suricata.yaml -r ./temp.pcap &</div>

</div><div><br></div><div>Suricata remained running as long as the netcat listener was operational.</div><div><br></div><div>Hope this helps!</div><div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Tue, Aug 5, 2014 at 2:30 PM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
</div>I tried setting up a bunch of 'cat' listeners that redirected to<br>
/dev/null as a test, but most of them terminated almost immediately<br>
after starting suricata.  I suspect the internal buffers aren't big<br>
enough for the amount of data the suricata threads are producing.<br>
<br>
Doing some googling it looks like the "dummy" network interface is what<br>
would probably work the best for doing raw packet IPC with suricata:<br>
<br>
<a href="http://wiki.networksecuritytoolkit.org/nstwiki/index.php/Dummy_Interface" target="_blank">http://wiki.networksecuritytoolkit.org/nstwiki/index.php/Dummy_Interface</a><br>
<br>
The idea would be set virtual interfaces on the dummy device as such:<br>
<br>
ifconfig dummy0:1<br>
ifconfig dummy0:2<br>
ifconfig dummy0:3<br>
<br>
... and then write the post-processed raw packets to the virtual<br>
interfaces, one per thread.  Unless I'm missing something this should be<br>
a workable solution, but as we have seen I tend to miss things!<br>
<br>
- -Coop<br>
<div class=""><br>
On 8/5/2014 4:21 AM, Victor Julien wrote:<br>
> On 08/05/2014 05:32 AM, Cooper F. Nelson wrote:<br>
>> Yup, I don't understand named pipes.  You need to attach the consumer<br>
>> process to all the pipes first before starting suricata, otherwise it<br>
>> will block the process.<br>
><br>
> So did you find a way to make it work?<br>
><br>
<br>
</div><div class="">- --<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ACT Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2.0.17 (MingW32)<br>
Comment: Using GnuPG with Thunderbird - <a href="http://www.enigmail.net/" target="_blank">http://www.enigmail.net/</a><br>
<br>
</div>iQEcBAEBAgAGBQJT4TDlAAoJEKIFRYQsa8FWLjMIALpOqei7ifCdxxe56DV/dER2<br>
ynka5DNl7ebKVPItkHJZYyhcz9SPWz8U+4kkeYmRZ0QF5Mv4neWITOK+99Dka2nM<br>
hDn0otrlPHO1XLkG7+UnbX2b0cu5nGmv8cUILyCb5EfLBXOLe6AFlsMjrm906ArN<br>
D+F4kXZcTfbhlZ51CWwG2efczIrP7UZL89YYOb4SVCfh5WYrrPKFe/OW2jTO6avu<br>
KxvzTQXqYim1D3Gb9+6So4hLjF8DaqWW6qjfDMkDD6VlUl90Ut8kXmQgqrchBn3q<br>
i3ROr2YA5ok2ts7XM7Ew0dz761AEE96I96R87ZcTxP2SPRJR/Ubevr9wvJnSbpI=<br>
=pmhG<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
OISF: <a href="http://www.openinfosecfoundation.org/" target="_blank">http://www.openinfosecfoundation.org/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Brandon Lattin<div>Security Analyst<br><div>University of Minnesota - University Information Security<br>Office: 612-626-6672</div></div>

</div>
</div></div>