
Good to know. What do you think about the stream depth and body inspection of that size? My bet is, it does not make much sense. Malware isn't hiding in files of that size and if it is (archive, etc) well you're not expecting to detect 100% anyway ;)<br><div>Having 1GB inspected is by most means "no limit" and should have a bad impact on a performance.</div><div>Correct me if I'm wrong. I run with 20MB.</div><br><div class="gmail_quote">On Fri Nov 07 2014 at 10:44:05 AM Victor Julien <<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 11/06/2014 07:12 PM, Michał Purzyński wrote:<br>

> What is the relation between libhtp and reassembly settings?<br>

><br>

> stream:<br>

> (...)<br>

> reassembly:<br>

> depth: 12mb<br>

><br>

> and<br>

><br>

> libhtp<br>

><br>

> request-body-limit<br>

> response-body-limit<br>

><br>

> if any? I understand that in order to have like 1GB request/response<br>

> body limits you need to reassemble them. Or did I get it wrong?<br>

><br>

<br>

You are right. Currently stream.depth rules all and isn't automagically<br>

updated to match HTTP body settings. So to get 1gb body inspection<br>

you'll need at least 1gb stream depth as well.<br>

<br>

--<br>

------------------------------<u></u>---------------<br>

Victor Julien<br>

<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>

PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/<u></u>victorjulien.asc</a><br>

------------------------------<u></u>---------------<br>

<br>

______________________________<u></u>_________________<br>

Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@<u></u>openinfosecfoundation.org</a><br>

Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/<u></u>support/</a><br>

List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.<u></u>openinfosecfoundation.org/<u></u>mailman/listinfo/oisf-users</a><br>

Training now available: <a href="http://suricata-ids.org/training/" target="_blank">http://suricata-ids.org/<u></u>training/</a></blockquote></div>