<div dir="ltr"><div class="gmail_default" style="font-family:'courier new',monospace">Hi,</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">I'm using FreeBSD (11-head) and suricata 2.0.8 in ipfw divert mode.</div><div class="gmail_default" style="font-family:'courier new',monospace">This setup works great in a lab with very few IP flow (just some ping and manual telnet to port 80 for testing the IDS signature).</div><div class="gmail_default" style="font-family:'courier new',monospace">But once deployed on real environnement, it only need one workstation for crashing suricata in few seconds.</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">Messages are these:</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:12 - <Info> - thread "Verdict0" restarted</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Warning> - [ERRCODE: SC_WARN_IPFW_XMIT(84)] - Write to ipfw divert socket failed: Permission denied</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - IPFW Processing: - (Verdict0) Pkts accepted 148, dropped 0</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - thread "Verdict0" restarted</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Warning> - [ERRCODE: SC_WARN_IPFW_XMIT(84)] - Write to ipfw divert socket failed: Permission denied</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - IPFW Processing: - (Verdict0) Pkts accepted 43, dropped 0</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - thread "Verdict0" restarted</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Warning> - [ERRCODE: SC_WARN_IPFW_XMIT(84)] - Write to ipfw divert socket failed: Permission denied</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - IPFW Processing: - (Verdict0) Pkts accepted 12, dropped 0</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - thread "Verdict0" restarted</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Warning> - [ERRCODE: SC_WARN_IPFW_XMIT(84)] - Write to ipfw divert socket failed: Permission denied</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Info> - IPFW Processing: - (Verdict0) Pkts accepted 30, dropped 0</div><div class="gmail_default" style="font-family:'courier new',monospace">23/9/2015 -- 20:49:13 - <Error> - [ERRCODE: SC_ERR_TM_THREADS_ERROR(136)] - thread restarts exceeded threshold limit for thread "Verdict0"</div><div class="gmail_default" style="font-family:'courier new',monospace"><br></div><div class="gmail_default" style="font-family:'courier new',monospace">I've found a similar problem in 2014 but without answer:</div><div class="gmail_default"><font face="courier new, monospace"><a href="https://lists.openinfosecfoundation.org/pipermail/oisf-users/2014-March/003403.html">https://lists.openinfosecfoundation.org/pipermail/oisf-users/2014-March/003403.html</a></font><br></div><div class="gmail_default"><font face="courier new, monospace"><br></font></div><div class="gmail_default"><font face="courier new, monospace">I've create a bug report too:</font></div><div class="gmail_default"><font face="courier new, monospace"><a href="https://redmine.openinfosecfoundation.org/issues/1561">https://redmine.openinfosecfoundation.org/issues/1561</a><br></font></div><div class="gmail_default"><br></div><div class="gmail_default"><font face="courier new, monospace">But how can I troubleshoot this problem ?</font></div><div class="gmail_default"><font face="courier new, monospace"><br></font></div><div class="gmail_default"><font face="courier new, monospace">Thanks</font></div></div></div>