<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 5.50.4207.2601" name=GENERATOR></HEAD>
<BODY><FONT face=Arial size=2><FONT size=2>
<DIV>Snort continues to run with -D, it just isn't doing so in promiscuous 
mode.</DIV>
<DIV>Even odder is that I've found if I stop snort, run it interactively, 
then</DIV>
<DIV>start snort with -D (while the interactive snort is running), somehow 
it</DIV>
<DIV>stays in promiscuous mode.</DIV>
<DIV>I was using snort-1.6.3 (non patch2) for a while before this; I moved 
to</DIV>
<DIV>patch2 because 1.6.3 would run for 5-10 minutes at a time and just 
stop</DIV>
<DIV>(probably due to a permissions error when it attempted to log an entry); 
it</DIV>
<DIV>didn't exhibit this behavior (dropping promiscuous mode).</DIV>
<DIV>I'm probably going to regret saying this, but I'm attempting to run snort 
on</DIV>
<DIV>a RHLinux7.0 machine; so it could possibly be attributed to a new, 
untested,</DIV>
<DIV>KNOWN-BUGGY OS. However, I'm not running libpcap from the RH distro 
(which</DIV>
<DIV>I'm well aware that many claim is broken), and my RHLinux install is 
pretty</DIV>
<DIV>stripped down (during custom install I specified to only install 
Networking,</DIV>
<DIV>Development Tools, and Utilities).</DIV>
<DIV>I was, however, hoping that others had the same experience, and would 
be</DIV>
<DIV>able to confirm to me that moving to another machine platform would 
help.</DIV>
<DIV>Regardless, since I posted this message, I've got a workable solution. 
It</DIV>
<DIV>just requires an admin at the console while the service is starting so 
that</DIV>
<DIV>they can start up, stop, and start the service again. ;)</DIV>
<DIV>-Gene</DIV>
<DIV> </DIV>
<DIV>-----Original Message-----</DIV>
<DIV>From: Fyodor [mailto:fygrave@...121...]</DIV>
<DIV>Sent: Tuesday, October 24, 2000 4:08 AM</DIV>
<DIV>To: Gene R. Gomez</DIV>
<DIV>Subject: Re: [Snort-users] difficulties with -D</DIV>
<DIV> </DIV>
<DIV> </DIV>
<DIV>but is snort actually running after promisc mode is dropped or it dies 
off</DIV>
<DIV>as well?</DIV>
<DIV>On Mon, Oct 23, 2000 at 09:14:05AM -0700, Gene R. Gomez wrote:</DIV>
<DIV>> Hey folks,</DIV>
<DIV>> I'm using snort-1.6.3-patch2, and having problems with -D. 
Essentially,</DIV>
<DIV>> when I explicitly start snort without the -D option, everything 
works</DIV>
<DIV>fine;</DIV>
<DIV>> however, if I specify -D, /var/log/messages reflects that eth0 is 
entering</DIV>
<DIV>> promiscuous mode, then IMMEDIATELY dropping out. I've noticed that, 
when</DIV>
<DIV>I</DIV>
<DIV>> run snort from the command line, as soon as I exit snort it looks like 
the</DIV>
<DIV>> timing is turning off promiscuous right away, but the entry for 
leaving</DIV>
<DIV>> promiscuous doesn't pop up in the logs until I exit the 
application;</DIV>
<DIV>> however, while the -D version of snort is running, the entry is 
made</DIV>
<DIV>> immediately into the log, and snort isn't picking up traffic.</DIV>
<DIV>> I've tried just using & at the end of the command to start it 
up</DIV>
<DIV>> semi-interactively and then push it to the background, but snort 
halts</DIV>
<DIV>when</DIV>
<DIV>> I do this.</DIV>
<DIV>> Any ideas what I'm doing wrong?</DIV>
<DIV>> </DIV>
<DIV>> -Gene</DIV>
<DIV>-- </DIV>
<DIV>There once was a couple named Kelley,</DIV>
<DIV>Who lived their life belly to belly.</DIV>
<DIV>Because in their haste</DIV>
<DIV>They used Library Paste,</DIV>
<DIV>Instead of Petroleum Jelly.</DIV></FONT></FONT></BODY></HTML>