
<div dir="ltr">pf_ring. Not sure if that affects this or not</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 28, 2017 at 3:30 PM, Jeremy MJ <span dir="ltr"><<a href="mailto:jskier@gmail.com" target="_blank">jskier@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I typically just use scapy and the base64 python module for decoding,<br>

although I believe eve2pcap is all python based too.<br>

<br>

What method are using to capture packets?<br>

<br>

--<br>

Jeremy MJ<br>

<div class="HOEnZb"><div class="h5"><br>

<br>

On Tue, Feb 28, 2017 at 2:07 PM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>

> Yeah, its very strange. We are using eve2pcap which does a great job of<br>

> converting it, but we noticed that some content in packet: is either<br>

> truncated or outright wrong...<br>

><br>

> On Tue, Feb 28, 2017 at 2:09 PM, Jeremy MJ <<a href="mailto:jskier@gmail.com">jskier@gmail.com</a>> wrote:<br>

>><br>

>> Did you decode the base64 properly? Also, I believe the packet field<br>

>> is very limited with what you get in general.<br>

>><br>

>> I don't seem to have your problem with 3.2 (feeding from rspan), but<br>

>> it's definitely malformed with erspan captures (Bug #1526).<br>

>><br>

>> --<br>

>> Jeremy MJ<br>

>><br>

>><br>

>> On Tue, Feb 28, 2017 at 7:28 AM, erik clark <<a href="mailto:philosnef@gmail.com">philosnef@gmail.com</a>> wrote:<br>

>> > The content in eve.json for the packet field matches neither the payload<br>

>> > nor<br>

>> > the payload_printable, nor what I assume to be the other side of the<br>

>> > transaction...<br>

>> ><br>

>> > Wat?<br>

>> ><br>

>> > Is this expected behavior? Also, the packet appears to be highly<br>

>> > truncated.<br>

>> > This is on suri 3.2. I believe I see the same behavior on suri 3.1.3 as<br>

>> > well.<br>

>> ><br>

>> > ______________________________<wbr>_________________<br>

>> > Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>

>> > Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support:<br>

>> > <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>

>> > List:<br>

>> > <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>

>> ><br>

><br>

><br>

</div></div></blockquote></div><br></div>