Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 11852 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

When downloading large files: Session exceeded configured max bytes to queue

eclipse79oldacct
Hello, 
I have a strange issue. When I download large files, my browser consider it as completed before it downloads the whole file. For example, the file was 2.8gb, firefox considers successfully downloaded at 700mb. The same after few minutes at 1.2gb.

It seems that there is a correlation between the described isse and some entries in log IPS log file: 


2012:07:03-10:36:25 MYFIREWALL snort[7480]: S5: Session exceeded configured max bytes to queue 1048576 using 1049776 bytes (client queue). MY_PUBLIC_IP 32771 --> 95.101.34.58 80 : LWstate 0x9 LWFlags 0x6007

2012:07:03-11:37:55 MYFIREWALL snort[7480]: S5: Session exceeded configured max bytes to queue 1048576 using 1049380 bytes (client queue). MY_PUBLIC_IP 33045 --> 129.35.224.105 80 : LWstate 0x9 LWFlags 0x6007


The same file is fuccessfully downloaded from a non-proxied and non protected (with ips) interface. 

Any ideas?

bye
eclipse79


This thread was automatically locked due to age.
  • 0
    Hi, it's possible the IPS is causing a problem, but it's more likely it's the http proxy / http anti-virus.

    Try disabling one feature at a time.

    iirc, you can tell the A/V to skip specific file extensions.

    Barry
  • 0 in reply to BarryG
    Hi, it's possible the IPS is causing a problem, but it's more likely it's the http proxy / http anti-virus.

    Try disabling one feature at a time.

    iirc, you can tell the A/V to skip specific file extensions.

    Barry


    Hi Barry
    thank you for your reply. It is not an A/V issue, large files are not scanned. I am pretty sure that it's an IPS issue. Consider that another download (small in this case) has been broken, but the "nice" thing is that the interface used had not to be scanned by IPS... (but I see the entry in log IPS log file!!) and it does not use proxy to connect to web sites...[/QUOTE]
  • 0
    If you could report this in the V9 beta forum, I believe it is a bug-like issue.  Wingman reported it in the V8.2 beta, but only got the message, and no actual download failure.

    Cheers - Bob
  • 0
    Guys, support increased the buffer size value and all downloads are not truncated anymore.

    I'll report this bug in v9beta forum
  • 0
    I have the exact same issue. I also first notice it when I tried to download some ISO-s from Microsoft. Then I noticed that this issue happens on most but non all servers. Mostly when you try to download files greater than couple of hundred MB.
    The problem disappears if you completely disable IPS.
  • 0
    jpwjpw, I don't think the two threads are related.  This is about buffer size, and it may be related to your issue about downloading large files.Notice that there is no sid mentioned in the log lines in Post #1.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello,

    we have a ASG220 with Firmware 8.310 running.
    If we download big files > 500mb(isos, zip, etc.) the download stop always.
    What rule we have do disable at the IPS?

    Here a log from the last failed download (Ubuntu 12.04 iso):
    2013:11:04-10:48:38 mail snort[7573]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="EXPLOIT Adobe FLV long string script data buffer overflow" group="340" srcip="130

    Regards,

    Thomas
  • 0
    Hi, Thomas, and welcome to the User BB!

    Without the rest of the line, we can't tell you exactly what to do.  Look for sid= later in the line - that's the Snort ID that you want to disable on the 'Advanced' tab of 'Intrusion Prevention'.

    Cheers - Bob
    PS Please always remember to state the exact version of UTM to which the issue relates.
    PPS I deleted the duplicate post in the other forum.  This is the correct forum for your issue.
  • 0 in reply to BAlfson
    Hi, Thomas, and welcome to the User BB!

    Without the rest of the line, we can't tell you exactly what to do.  Look for sid= later in the line - that's the Snort ID that you want to disable on the 'Advanced' tab of 'Intrusion Prevention'.

    Cheers - Bob
    PS Please always remember to state the exact version of UTM to which the issue relates.
    PPS I deleted the duplicate post in the other forum.  This is the correct forum for your issue.


    Hi,

    thanks for the feedback.
    I disabled now the sid, at the advanced tab and the download works.

    Regards,
    Thomas