<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">


<META content="MSHTML 5.00.3502.4856" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT color=#0000ff face=Arial size=2><SPAN class=295570315-28062002>How 
about just disabling TCP/IP on that interface by un-checking the 
component?  Why muck around with the registry?</SPAN></FONT></DIV>
<BLOCKQUOTE>
  <DIV align=left class=OutlookMessageHeader dir=ltr><FONT face=Tahoma 
  size=2>-----Original Message-----<BR><B>From:</B> CJATeck@...661... 
  [mailto:CJATeck@...661...]<BR><B>Sent:</B> Friday, June 28, 2002 10:51 
  AM<BR><B>To:</B> tslighter@...5174...; michaels@...155...; 
  scotw@...125...<BR><B>Cc:</B> 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> Re: [Snort-users] Setting 
  up a Windowz Interface to monitor with no IP Address<BR><BR></DIV></FONT><FONT 
  face=arial,helvetica><FONT face=Arial lang=0 size=2 FAMILY="SANSSERIF">Also, 
  need to <U>disable</U> the DHCP service so the NIC interface gets a default 
  0.0.0.0 address.<BR><BR>Cliff <BR><BR>In a message dated 6/28/2002 9:46:03 AM 
  Eastern Daylight Time, tslighter@...5174... writes: <BR>
  <BLOCKQUOTE 
  style="BORDER-LEFT: #0000ff 2px solid; MARGIN-LEFT: 5px; MARGIN-RIGHT: 0px; PADDING-LEFT: 5px" 
  TYPE="CITE">I did find that for those who are uncomfortable with poking away 
    at the<BR>registry blindfolded, there is an easier way to setup a "stealth" 
    interface<BR>on a windows system.  Just simply configure the interface 
    for DHCP and it<BR>will never obtain an IP address but will still be in the 
    "UP" state.<BR><BR>-----Original Message-----<BR>From: Michael Steele 
    [mailto:michaels@...155...]<BR>Sent: Thursday, June 27, 2002 8:57 
    PM<BR>To: 'Scot Scot'<BR>Cc: snort-users@lists.sourceforge.net<BR>Subject: 
    RE: [Snort-users] Setting up a Windowz Interface to monitor<BR>with no IP 
    Address<BR><BR><BR>Scot,<BR><BR>Hopefully they won't place it in the FAQ's. 
    Editing the Registry is a<BR>major responsibility and the fewer people doing 
    it the better. I'm sure<BR>you and everyone else that is Windows savy, knows 
    what one wrong slip<BR>can do to your OS. This is not mainstream and will 
    only contribute to a<BR>very few people, and could be devastating to many 
    others.<BR><BR>-Michael<BR><BR>Michael Steele | System Engineer / Support 
    Technician<BR>mailto:michaels@...155...<BR>Silicon Defense: IDS 
    solutions - http://www.silicondefense.com<BR>Snort: Open Source Network IDS 
    - http://www.snort.org<BR><BR><BR>-----Original Message-----<BR>From: 
    snort-users-admin@lists.sourceforge.net<BR>[mailto:snort-users-admin@...6193...sts.sourceforge.net] 
    On Behalf Of Scot Scot<BR>Sent: June 27, 2002 3:32 PM<BR>To: 
    snort-users@lists.sourceforge.net<BR>Subject: [Snort-users] Setting up a 
    Windowz Interface to monitor with no<BR>IP Address<BR><BR>I'd like to add to 
    the Snort FAQ, I sent this update to: Dragos Ruiu at <BR>dr@...381..., but no 
    response has been sent back. Perhaps he'z a little<BR>busy 
    <BR>/wait.<BR><BR>http://www.snort.org/docs/faq.html<BR><BR>Under Section 3: 
    Configuring Snort<BR>----------------------------------<BR>3.2 Q:  How 
    do I run snort on an interface with no IP address?<BR><BR>I would like to 
    add some info for the Windowz users out there. Below is<BR>a <BR>detailed 
    explanation of how to bring a Windowz interface up with no IP <BR>Address. 
    If you try to type "Null" values in the GUI, Windowz will error<BR>and 
    <BR>prevent you from doing so. Following is the proper Registry 
    modification<BR><BR>(Should work for NT-W2K-XP). I have tested and verified 
    functionality on<BR><BR>W2K.<BR><BR>Please let me know if corrections are 
    needed, I'll take care of it.<BR><BR>Thankz.<BR><BR>Scot 
    Wiedenfeld<BR>____________________________________________________<BR><BR>Setting 
    the Snort Monitoring Interface to operate in Windowz 2000<BR>without an 
    <BR>IP Address.<BR><BR>1. open Regedt32<BR>2. Navigate out 
    to:<BR>-----HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Paramete<BR>rs\Interfaces\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}<BR>3. 
    Select the network card you wish to setup as the monitoring 
    interface<BR><BR>(this will be the {XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX} 
    value).<BR><BR>  If you do not know what the device's Hex value is, run 
    snort<BR>from the <BR>command line and type the following:<BR><BR>  
    (Example if snort is in the C:\snort\ directory)<BR><BR>  
    C:\snort\snort -W<BR><BR>This will provide you a list of enabled network 
    adapters and the <BR>corresponding Hex Value in the registry.<BR><BR>4. Set 
    the IPAddress:REG_MULTI_SZ: to nothing (Double click on the<BR>string, 
    <BR>delete data in the Multi-String Editor, then click OK)<BR>5. Set the 
    SubnetMask:REG_MULTI_SZ: to nothing (Double click on the<BR>string, 
    <BR>delete data in the Multi-String Editor, then click OK)<BR>4. Set the 
    DefaultGateway:REG_MULTI_SZ: to nothing (Double click on the <BR>string, 
    delete data in the Multi-String Editor, then click OK)<BR>6. Close the 
    Registry Editor, your changes will be saved automatically.<BR>7. Return to 
    the command prompt and type the following to verify there<BR>is no <BR>IP 
    bound to the interface:<BR><BR>  C:\ipconfig<BR><BR>8. You should not 
    recieve an IP address listing from the interface you <BR>modified.<BR>9. 
    Fire Snort up on the interface you modified to verify you are able 
    to<BR><BR>sniff off the wire.<BR><BR>  (Example if snort is in the 
    C:\snort\ directory and you modified<BR>ethernet <BR>adapter 
    #1)<BR><BR>  C:\snort\snort -dev -i1<BR><BR>10. Wa-laa<BR>11. Go get a 
    Code Red or beverage of choice for doing such a good 
    job.<BR><BR>_________________________________________________________________<BR>Join 
    the world's largest e-mail service with MSN Hotmail. 
    <BR>http://www.hotmail.com<BR><BR><BR><BR>-------------------------------------------------------<BR>This 
    sf.net email is sponsored by:ThinkGeek<BR>Bringing you mounds of caffeinated 
    joy.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
    mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
    change user options or 
    unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
    list 
    archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR><BR><BR><BR><BR><BR>-------------------------------------------------------<BR>This 
    sf.net email is sponsored by:ThinkGeek<BR>Bringing you mounds of caffeinated 
    joy.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
    mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
    change user options or 
    unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
    list 
    archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR><BR><BR>-------------------------------------------------------<BR>This 
    sf.net email is sponsored by:ThinkGeek<BR>Caffeinated soap. No 
    kidding.<BR>http://thinkgeek.com/sf<BR>_______________________________________________<BR>Snort-users 
    mailing list<BR>Snort-users@lists.sourceforge.net<BR>Go to this URL to 
    change user options or 
    unsubscribe:<BR>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users 
    list 
  archive:<BR>http://www.geocrawler.com/redir-sf.php3?list=snort-users<BR></BLOCKQUOTE><BR></BLOCKQUOTE></FONT></FONT></BODY></HTML>