Snort 2.9.5 and ERPSAN; malformed packages

[Bart Jan Kelter <bkelter () hetcak nl>]

Dear fellow Snort users,

I'm trying to set up a Snort configuration with ERSPAN.
The ERSPAN is originating from a Cisco Nexus 5000
Unfortunately I do not receive usable data form the ERSPAN
When I try to analyze the datastream with Wireshark I only see
'Malformed Packages'
The mtu size is something to think about; ERSPAN packages can become
bigger then 1500 bytes.
But the most packages do nit hit this limit; even the smallest packages
(about 160 bytes) are malformed.

Of course this seems to be a Cisco issue, not a Snort issue. But I can
imagine tat some reader of this list have encountered the similar issues.

Many thanks in advance

-- 
Bart Jan Kelter
TISO, System Engineer External Connections & Security
ICT Operations, Linux & Security
+31 88 711 4643
******** DISCLAIMER ********

Alle informatie verzonden met dit e-mailbericht is vertrouwelijk en 
uitsluitend bestemd voor de geadresseerde. Indien bovenstaand 
e-mailbericht niet aan u is gericht, verzoeken wij u vriendelijk doch 
dringend het e-mailbericht te retourneren aan de verzender en het 
origineel en eventuele kopieën te verwijderen en te vernietigen. 
Gebruik van deze informatie door anderen dan de geadresseerde is 
verboden. Het CAK erkent hieromtrent geen enkele aansprakelijkheid. 
Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking 
van deze informatie aan derden is niet toegestaan. Het CAK en/of haar 
medewerkers staan niet in voor de juiste en volledige overbrenging van 
de inhoud van een verzonden e-mail, noch voor tijdige ontvangst 
daarvan.

****************************


------------------------------------------------------------------------------
October Webinars: Code for Performance
Free Intel webinars can help you accelerate application performance.
Explore tips for MPI, OpenMP, advanced profiling, and more. Get the most from 
the latest Intel processors and coprocessors. See abstracts and register >
http://pubads.g.doubleclick.net/gampad/clk?id=60135031&iu=/4140/ostg.clktrk
_______________________________________________
Snort-users mailing list
Snort-users () lists sourceforge net
Go to this URL to change user options or unsubscribe:
https://lists.sourceforge.net/lists/listinfo/snort-users
Snort-users list archive:
http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users

Please visit http://blog.snort.org to stay current on all the latest Snort news!