<br><br><div class="gmail_quote">On Sat, May 21, 2011 at 5:06 PM, David Bramer <span dir="ltr"><<a href="mailto:david.bramer@...2499...">david.bramer@...2499...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
Hi,<br>
<br>
Due to legacy reasons I receive packets encapsulated in a custom<br>
format created by my company. What I want to do is hack snort so that<br>
I can listen on a network interface, decapsulate the input (This is<br>
easy) and pass the packet into snort. I've been looking at the source<br>
as how best to achieve this.<br>
<br>
I've considered modifying the -r option used for single pcap file<br>
which calls PQ_Single, alternatively creating something that calls<br>
PQ_Multi.<br>
<br>
Am I on the right tracks or is there something better that I can do,<br>
for instance I have read a little about preprocessors, are those<br>
something that would allow me to decapsulate the stuff I get?<br></blockquote><div><br>Do you have a unique DLT (data link type) value to key off of?<br><br>It sounds like creating a custom grinder would be the easiest (and best) solution.<br>
<br>Take a look at DecodeNullPkt() (in decode.c, called from snort.c) as an example.<br></div><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

<br>
Cheers<br>
<br>
David<br>
<br>
------------------------------------------------------------------------------<br>
What Every C/C++ and Fortran developer Should Know!<br>
Read this article and learn how Intel has extended the reach of its<br>
next-generation tools to help Windows* and Linux* C/C++ and Fortran<br>
developers boost performance applications - including clusters.<br>
<a href="http://p.sf.net/sfu/intel-dev2devmay" target="_blank">http://p.sf.net/sfu/intel-dev2devmay</a><br>
_______________________________________________<br>
Snort-devel mailing list<br>
<a href="mailto:Snort-devel@lists.sourceforge.net">Snort-devel@...1685...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-devel" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-devel</a><br>
</blockquote></div><br>