<div dir="ltr">Ok, thanks for the info Victor, I do understand/agree its not completely valid, but it is on the upswing in terms of support, nginx, apache, haproxy, AWS ELB (Application and Classic) among others have added it.  I'll try to get a pcap together and submit an issue.<div><br></div><div>Thanks for the response,</div><div>Jeff</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 12, 2017 at 10:19 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net" target="_blank">lists@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 12-12-17 16:11, Jeff Dyke wrote:<br>
> I have the following requests that come in from HAProxy, which adds<br>
> proxy_protocol[1] portion to the requests so nginx will read the<br>
> {EXTERNAL_IP} rather than {INTERNAL_LB} for the access.log, with 4.0 i'd<br>
> occasionally see these hitting rule 2221002 -  SURICATA HTTP request<br>
> field missing colon. I think it is due to the leading PROXY TCP4 bits.<br>
> The number has jumped dramatically with the update to 4.0.3 and wanted<br>
> to get others opinions, before writing a rule to ignore it as IMO it's<br>
> benign and proper behavior, but others matching this rule may not be. <br>
><br>
> -- Payload printable --<br>
> PROXY TCP4 {EXTERNAL_IP} {INTERNAL_LB} 52627 443\r\nGET /<br>
> HTTP/1.1\r\nAccept:<br>
> text/html,application/xhtml+<wbr>xml,application/xml;q=0.9,*/*;<wbr>q=0.8\r\nUser-Agent:<br>
> Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like<br>
> Gecko) Chrome/52.0.2743.116 Safari/537.36\r\nAccept-<wbr>Language:<br>
> en-US\r\nAccept-Encoding: gzip, deflate\r\nHost: <a href="http://adomainiown.com" rel="noreferrer" target="_blank">adomainiown.com</a><br>
</span>> <<a href="http://adomainiown.com" rel="noreferrer" target="_blank">http://adomainiown.com</a>>\r\n\<wbr>r\n<br>
<span class="">> -- End Payload Printable --<br>
><br>
> If anyone sees something else in here that would match that rule, that<br>
> would also be helpful.  I've dug through the source a bit, but having a<br>
> hard time figuring out exactly where this is parsed into an alert.<br>
><br>
> Thanks<br>
><br>
> [1] <a href="https://www.haproxy.org/download/1.8/doc/proxy-protocol.txt" rel="noreferrer" target="_blank">https://www.haproxy.org/<wbr>download/1.8/doc/proxy-<wbr>protocol.txt</a><br>
<br>
</span>It may be benign traffic, it's not valid HTTP. Thats the problem here. I<br>
guess we could add support for this proxy proto (and other similar<br>
wrappers).<br>
<br>
If you want you can open a feature ticket. A pcap with it would be very<br>
welcome.<br>
<br>
--<br>
------------------------------<wbr>---------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" rel="noreferrer" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" rel="noreferrer" target="_blank">http://www.inliniac.net/<wbr>victorjulien.asc</a><br>
------------------------------<wbr>---------------<br>
<br>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org">oisf-users@<wbr>openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/<wbr>support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.<wbr>openinfosecfoundation.org/<wbr>mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/<wbr>training/</a></blockquote></div><br></div>