<div><div dir="auto">Hello,</div></div><div dir="auto"><br></div><div dir="auto">How are you mirroring the traffic? If it’s a switch span port, that could be the source of the dropped traffic.</div><div dir="auto"><br></div><div dir="auto">Sincerely,</div><div dir="auto"><br></div><div dir="auto">Richard </div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 29, 2019 at 7:30 AM 杨毅凌 &lt;<a href="mailto:1766521944@qq.com">1766521944@qq.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>I mirrored the traffic between the core switch of our computer room and the public network firewall, but the zeek report contained a lot of packet loss (30%), and currently uses PFring for packet capture. I confirm that the hardware is fully capable of handling these packet。&quot;<font style="background-color:rgba(0,0,0,0);display:inline">Capture loss&quot; and &quot;dropped packets&quot;  have alarms。At the same time, in the werid log, a large number of TCP_seq/ack_underflow_or_misorder logs are included.</font></div><div>So I want to know why there is such a high rate of packet loss, how to trace the cause, and how to solve it.I look forward to receiving your reply.</div>_______________________________________________<br>
Zeek mailing list<br>
<a href="mailto:zeek@zeek.org" target="_blank">zeek@zeek.org</a><br>
<a href="http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek" rel="noreferrer" target="_blank">http://mailman.ICSI.Berkeley.EDU/mailman/listinfo/zeek</a></blockquote></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Richard Bejtlich<div>Principal Security Strategist, Corelight</div><div><a href="https://corelight.blog/author/richardbejtlich/" target="_blank">https://corelight.blog/author/richardbejtlich/</a><br></div></div></div></div></div></div></div>