<p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">Hi, </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">My name is Chi Hwan Kang. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">I am trying to build an IPS using Suricata. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">While testing detection, I have faced a very strange thing which is that both src_port and dest_port are 0. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">My test environment is </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">    * Suricata is installed on a CentOS machine. It is installed using the commands in suricata_installation.txt</p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      [root@localhost ~]# uname -a</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      Linux localhost.localdomain 3.10.0-957.21.3.el7.x86_64 #1 SMP Tue Jun 18 16:35:19 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      ethtool -k output is attached. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      suricata.yaml is attached.</p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      Suricata started by "suricata <span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">-c suricata.yaml -S suricata.rules --af-packet".</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      suricata.rules is attached. </span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">    * The packets are sent from another machine to the Suricata machine using tcpreplay. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      It is an IP fragmented UDP flow. </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"> </p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">    * The rules in suricata.rules are from <span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">stream-events.rules and </span><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">decoder-events.rules</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">      </span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">As shown in detection_alert.json, all of the detection events are showing src_port:0 and dest_port:0.</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">Can you please help me out to find out the cause of this?</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">Thank you very much</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;">Chi Kang</span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p><p style="font-family: 돋움; font-size: 10pt; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><span style="font-size: 10pt; font-family: 돋움; line-height: 20px; margin-top: 0px; margin-bottom: 0px;"><br></span></p>
<img id='mailexp' width=0 heigh=0 border=0 src='https://ezwebmail.bizmeka.com/receipt/notification.do?ukey=5d71fb313fee6d4f31785b3e&userid=kangjh0101&mhost=pizzlysoft.com'>