[8.900][BUG] Snort S5: Session exceeded

Thank Cristof for the update

What is the exact impact for this error and increasing the byte size?

Hi wingman,

I'm not that familiar with the IPS/IDS system, but AFAIK in this case the IPS search session exceeds. It's a result of the defined maximum byte size for scanning each package. Hence increasing the maximum byte size results in a higher hardware usage for IPS and will finally entail to a general decrease in performance.

Cheers,
Cristof

Hi wingman,

I'm not that familiar with the IPS/IDS system, but AFAIK in this case the IPS search session exceeds. It's a result of the defined maximum byte size for scanning each package. Hence increasing the maximum byte size results in a higher hardware usage for IPS and will finally entail to a general decrease in performance.

Cheers,
Cristof

Just a FYI (and I'm sure that Astaro is aware of this), this is also an issue on some installations of 8.30x (and probably earlier versions).

Agree with Bruce, this error goes back a few versions. Actually a quick google search gave https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70500 .

Snort is really meant to be run on a standalone machine with lots of ram. When you try to constrict it due to hardware limitations, you will get errors like this. 

Regards
Bill