<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 6.00.2600.0" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Verdana size=2><SPAN class=500545913-21092001>[Also posted to 
the Snort forums]</SPAN></FONT></DIV>
<DIV><FONT face=Verdana size=2></FONT> </DIV>
<DIV><FONT face=Verdana size=2></FONT> </DIV>
<DIV><FONT face=Verdana size=2>Hi everyone - this question has probably been 
done to death, but my google searching for answers has amounted to nought - so 
I'm going to have to ask it again I'm afraid! </DIV>
<P></P>
<P>The network here in my building is of course suffering from the recent Nimda 
virus/worm breakout, and we're trying to track infected boxes with snort.</P>
<P>The entire network here is running on switched ethernet, which is giving us a 
bit of a headache. Most of the switches are dumb 3Com supplied ones, but we've 
been sensible enough (we think) to plug out snort box into the Cisco one which 
sits at the top of the network.</P>
<P>The trouble is that we *still* don't seem to be able to monitor attacks which 
don't directly go for the snort box itself.</P>
<P>The card is set up in promiscuous mode as it should be - but we think we need 
to do something to the switch to make sure it sees ALL our internal network 
traffic.</P>
<P>Does anyone know what we might have missed? Or have any suggestions at 
all?</P>
<P>Cheers amigos......</P>
<P>Bryan </P></FONT>
<DIV> </DIV><CODE><FONT SIZE=3><BR>
<BR>
********<BR>
<BR>
Mercator - find out more at http://www.mercator.com<BR>
<BR>
The information in this email is confidential and is intended solely for the addressee(s). Access to this email by anyone else is unauthorised.  If you are not an intended recipient, you must not read, use or disseminate the information contained in the email.  <BR>
Any views expressed in this message are those of the individual sender, except where the sender specifically states them to be the views of Mercator Software Ltd.<BR>
Email to and from Mercator may be monitored.<BR>
<BR>
********<BR>
 <BR>
</FONT></CODE>
</BODY></HTML>