<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 5.50.4725.2100" name=GENERATOR></HEAD>
<BODY>
<DIV><SPAN class=529572815-28062002><FONT face=Arial color=#0000ff 
size=2>exactly. my first thought (installign test 2k server atm) was to just 
unbind the TCP/IP from the desired interface.</FONT></SPAN></DIV>
<BLOCKQUOTE dir=ltr style="MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> McCammon, Keith 
  [mailto:Keith.McCammon@...3497...]<BR><B>Sent:</B> Friday, June 28, 2002 
  11:07 AM<BR><B>To:</B> CJATeck@...661...; tslighter@...5174...; 
  michaels@...155...; scotw@...125...<BR><B>Cc:</B> 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> RE: [Snort-users] Setting 
  up a Windowz Interface to monitor with no IP Address<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial color=#0000ff size=2><SPAN class=295570315-28062002>How 
  about just disabling TCP/IP on that interface by un-checking the 
  component?  Why muck around with the registry?</SPAN></FONT></DIV>
  <BLOCKQUOTE>
    <DIV class=OutlookMessageHeader dir=ltr align=left><FONT face=Tahoma 
    size=2>-----Original Message-----<BR><B>From:</B> CJATeck@...661... 
    [mailto:CJATeck@...661...]<BR><B>Sent:</B> Friday, June 28, 2002 10:51 
    AM<BR><B>To:</B> tslighter@...5174...; michaels@...155...; 
    scotw@...125...<BR><B>Cc:</B> 
    snort-users@lists.sourceforge.net<BR><B>Subject:</B> Re: [Snort-users] 
    Setting up a Windowz Interface to monitor with no IP 
    Address<BR><BR></DIV></FONT><FONT face=arial,helvetica><FONT lang=0 
    face=Arial size=2 FAMILY="SANSSERIF">Also, need to <U>disable</U> the DHCP 
    service so the NIC interface gets a default 0.0.0.0 address.<BR><BR>Cliff 
    <BR><BR>In a message dated 6/28/2002 9:46:03 AM Eastern Daylight Time, 
    tslighter@...5174... writes: <BR>
    <BLOCKQUOTE 
    style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px" 
    TYPE="CITE">I did find that for those who are uncomfortable with poking 
      away at the<BR>registry blindfolded, there is an easier way to setup a 
      "stealth" interface<BR>on a windows system.  Just simply configure 
      the interface for DHCP and it<BR>will never obtain an IP address but will 
      still be in the "UP" state.<BR><BR>-----Original Message-----<BR>From: 
      Michael Steele [mailto:michaels@...155...]<BR>Sent: Thursday, 
      June 27, 2002 8:57 PM<BR>To: 'Scot Scot'<BR>Cc: 
      snort-users@lists.sourceforge.net<BR>Subject: RE: [Snort-users] Setting up 
      a Windowz Interface to monitor<BR>with no IP 
      Address<BR><BR><BR>Scot,<BR><BR>Hopefully they won't place it in the 
      FAQ's. Editing the Registry is a<BR>major responsibility and the fewer 
      people doing it the better. I'm sure<BR>you and everyone else that is 
      Windows savy, knows what one wrong slip<BR>can do to your OS. This is not 
      mainstream and will only contribute to a<BR>very few people, and could be 
      devastating to many others.<BR><BR>-Michael<BR><BR>Michael Steele | System 
      Engineer / Support 
      Technician<BR>mailto:michaels@...155...<BR>Silicon Defense: IDS 
      solutions - http://www.silicondefense.com<BR>Snort: Open Source Network 
      IDS - http://www.snort.org<BR><BR><BR>-----Original Message-----<BR>From: 
      snort-users-admin@lists.sourceforge.net<BR>[mailto:snort-users-admin@lists.sourceforge.net] 
      On Behalf Of Scot Scot<BR>Sent: June 27, 2002 3:32 PM<BR>To: 
      snort-users@lists.sourceforge.net<BR>Subject: [Snort-users] Setting up a 
      Windowz Interface to monitor with no<BR>IP Address<BR><BR>I'd like to add 
      to the Snort FAQ, I sent this update to: Dragos Ruiu at <BR>dr@...381..., 
      but no response has been sent back. Perhaps he'z a little<BR>busy 
      <BR>/wait.<BR><BR>http://www.snort.org/docs/faq.html<BR><BR>Under Section 
      3: Configuring Snort<BR>----------------------------------<BR>3.2 Q:  
      How do I run snort on an interface with no IP address?<BR><BR>I would like 
      to add some info for the Windowz users out there. Below is<BR>a 
      <BR>detailed explanation of how to bring a Windowz interface up with no IP 
      <BR>Address. If you try to type "Null" values in the GUI, Windowz will 
      error<BR>and <BR>prevent you from doing so. Following is the proper 
      Registry modification<BR><BR>(Should work for NT-W2K-XP). I have tested 
      and verified functionality on<BR><BR>W2K.<BR><BR>Please let me know if 
      corrections are needed, I'll take care of it.<BR><BR>Thankz.<BR><BR>Scot 
      Wiedenfeld<BR>____________________________________________________<BR><BR>Setting 
      the Snort Monitoring Interface to operate in Windowz 2000<BR>without an 
      <BR>IP Address.<BR><BR>1. open Regedt32<BR>2. Navigate out 
      to:<BR>-----HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Paramete<BR>rs\Interfaces\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}<BR>3. 
      Select the network card you wish to setup as the monitoring 
      interface<BR><BR>(this will be the {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 
      value).<BR><BR>  If you do not know what the device's Hex value is, 
      run snort<BR>from the <BR>command line and type the 
      following:<BR><BR>  (Example if snort is in the C:\snort\ 
      directory)<BR><BR>  C:\snort\snort -W<BR><BR>This will provide you a 
      list of enabled network adapters and the <BR>corresponding Hex Value in 
      the registry.<BR><BR>4. Set the IPAddress:REG_MULTI_SZ: to nothing (Double 
      click on the<BR>string, <BR>delete data in the Multi-String Editor, then 
      click OK)<BR>5. Set the SubnetMask:REG_MULTI_SZ: to nothing (Double click 
      on the<BR>string, <BR>delete data in the Multi-String Editor, then click 
      OK)<BR>4. Set the DefaultGateway:REG_MULTI_SZ: to nothing (Double click on 
      the <BR>string, delete data in the Multi-String Editor, then click 
      OK)<BR>6. Close the Registry Editor, your changes will be saved 
      automatically.<BR>7. Return to the command prompt and type the following 
      to verify there<BR>is no <BR>IP bound to the interface:<BR><BR>  
      C:\ipconfig<BR><BR>8. You should not recieve an IP address listing from 
      the interface you <BR>modified.<BR>9. Fire Snort up on the interface you 
      modified to verify you are able to<BR><BR>sniff off the 
      wire.<BR><BR>  (Example if snort is in the C:\snort\ directory and 
      you modified<BR>ethernet <BR>adapter #1)<BR><BR>  C:\snort\snort -dev 
      -i1<BR><BR>10. Wa-laa<BR>11. Go get a Code Red or beverage of choice for 
      doing such a good 
      job.<BR><BR>_________________________________________________________________<BR>Join 
      the world's largest e-mail service with MSN Hotmail. 
      <BR>http://www.hotmail.com<BR><BR><BR><BR>-------------------------------------------------------<BR>This 
      sf.net email is sponsored by:ThinkGeek<BR>Bringing you mounds of 
      caffeinated 
      joy.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
      mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
      change user options or 
      unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
      list 
      archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR><BR><BR><BR><BR><BR>-------------------------------------------------------<BR>This 
      sf.net email is sponsored by:ThinkGeek<BR>Bringing you mounds of 
      caffeinated 
      joy.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
      mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
      change user options or 
      unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
      list 
      archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR><BR><BR>-------------------------------------------------------<BR>This 
      sf.net email is sponsored by:ThinkGeek<BR>Caffeinated soap. No 
      kidding.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
      mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
      change user options or 
      unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
      list 
      archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR></BLOCKQUOTE><BR></BLOCKQUOTE></BLOCKQUOTE></FONT></FONT></BODY></HTML>