<div dir="ltr">Thanks Peter.<div><br></div><div>Here are the timeouts from my suricata.yaml file:</div><div><br></div><div>default:</div><div>    new: 30</div><div>    established: 300</div><div>    closed: 0</div><div>    emergency-new: 10</div><div>    emergency-established: 100</div><div>    emergency-closed: 0</div><div><div><div>tcp:</div><div>    new: 10</div><div>    established: 10</div><div>    closed: 10</div><div>    emergency-new: 10</div><div>    emergency-established: 10</div><div>    emergency-closed: 10</div></div><div><br></div><div>I invoke suricata using the following command:</div><div>suricata -D -c /etc/suricata/suricata.yaml -i eth0 --pidfile /var/run/suricata.pid</div><div><br></div><div>Following the successful alert for sid=2016808, I also immediately see the following alerts:</div><div>2210032 - ..Suricata Stream FIN1 F1with wrong seq... (sometimes)</div><div>2210045 - ..Suricata stream packet with invalid ack..</div><div>2210046 - ..Suricata stream shutdown RST invalid ack...</div><div><br></div><div>Also, I noticed that I don't have to wait an hour to generate successful 2016808 alerts, I can now generate successive alerts if I wait to 10-15 min.</div><div><br></div><div>Thanks,</div><div><br></div><div>-Bakul</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Sep 14, 2014 at 5:37 AM, Peter Manev <span dir="ltr"><<a href="mailto:petermanev@gmail.com" target="_blank">petermanev@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On Sun, Sep 14, 2014 at 2:35 AM, bakul khanna <<a href="mailto:bakulkhanna@gmail.com">bakulkhanna@gmail.com</a>> wrote:<br>
> I am experimenting with having Suricata generate an alert, for an ET rule<br>
> (sid=2016808), when I perform a  tcpreplay of a pcap file for this rule.<br>
><br>
> The first time after a Suricata bringup, it does generate the alert. On<br>
> subsequent replays of the same pcap file it does not generate the alert.<br>
> However if I wait a long time (I tried an hour) and then replay the pcap<br>
> file, Suricata successfully alerts then. There is no threshold limits<br>
> applied to this rule.<br>
><br>
> I tried reducing the flow and TCP timeouts in suricata.yaml, but that didn't<br>
> seem to help.<br>
><br>
> Any suggestion on how I can get Suricata to alert successfully on successive<br>
> tcpreplays of this pcap file?<br>
><br>
> Thanks,<br>
><br>
> -Bakul<br>
><br>
</div></div>> _______________________________________________<br>
<br>
<br>
<br>
Hi,<br>
<br>
The way you describe the problem it seems TCP timeouts is the problem.<br>
I can't be sure though.<br>
<br>
Can you please provide your timeout values as set up in yaml and the<br>
set up you use - how do you start Suricata, do you use  unix<br>
socket(most likely the case)...so on?<br>
<br>
<br>
<br>
thanks<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
--<br>
Regards,<br>
Peter Manev<br>
</font></span></blockquote></div><br></div>