<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2654.89">
<TITLE>RE: [Snort-users] seeing whol subnet</TITLE>
</HEAD>
<BODY>

<P><FONT SIZE=2>ur problem is nothing 2 do with snort sensor. U need to mirror the port that the sensor is connected to. U need 2 read and understand how network switching works.</FONT></P>

<P><FONT SIZE=2>Switches r not like hubs, switches build a table for MAC addresses and ports and will only send packet to specific port(s). This to prevent broadcast. As I mentioned u need to read a bit more about networking. </FONT></P>

<P><FONT SIZE=2>Best Regards</FONT>
</P>

<P><FONT SIZE=2>Ohanes Semerjian</FONT>
</P>
<BR>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>From: David Bear [<A HREF="mailto:David.Bear@...7807....">mailto:David.Bear@...1022...</A>]</FONT>
<BR><FONT SIZE=2>Sent: Thursday, 19 December 2002 3:30 AM</FONT>
<BR><FONT SIZE=2>To: snort-users</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] seeing whol subnet</FONT>
</P>
<BR>

<P><FONT SIZE=2>I would like snort to 'see'/'report' on hosts in the whole subnet.  I have set my HOME_NET vary to any, and well as trying vx0_ADDRESS and different combinations of the ip/add/subnet (in CIDR block notation).  When snort does alert, it only alerts on attacks directed to the host it is running on, ie it does not alert on when any other host is attacked.  I am runing on freebsd 4.6.2.  While I don't control the wiring and network switches I am reasonaly certain this is a standard 10/mbt shared ethernet port -- so all hosts should be visible.</FONT></P>

<P><FONT SIZE=2>Are there any other config parameters that I am just missing? (I have enabled ALL rules to alert -- even the icmp rule that seem to generate a lot of alert -- still all quiet.  I'm not quite ready to believe that my subnet is this quiet...</FONT></P>

<P><FONT SIZE=2>--</FONT>
</P>

<P><FONT SIZE=2>David Bear</FONT>
<BR><FONT SIZE=2>College of Public Programs/ASU</FONT>
<BR><FONT SIZE=2>Mail Code 0803</FONT>
</P>
<BR>

<P><FONT SIZE=2>-------------------------------------------------------</FONT>
<BR><FONT SIZE=2>This SF.NET email is sponsored by: Order your Holiday Geek Presents Now!</FONT>
<BR><FONT SIZE=2>Green Lasers, Hip Geek T-Shirts, Remote Control Tanks, Caffeinated Soap,</FONT>
<BR><FONT SIZE=2>MP3 Players,  XBox Games,  Flying Saucers,  WebCams,  Smart Putty.</FONT>
<BR><FONT SIZE=2>T H I N K G E E K . C O M       <A HREF="http://www.thinkgeek.com/sf/" TARGET="_blank">http://www.thinkgeek.com/sf/</A></FONT>
<BR><FONT SIZE=2>_______________________________________________</FONT>
<BR><FONT SIZE=2>Snort-users mailing list</FONT>
<BR><FONT SIZE=2>Snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Go to this URL to change user options or unsubscribe:</FONT>
<BR><FONT SIZE=2><A HREF="https://lists.sourceforge.net/lists/listinfo/snort-users" TARGET="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</A></FONT>
<BR><FONT SIZE=2>Snort-users list archive:</FONT>
<BR><FONT SIZE=2><A HREF="http://www.geocrawler.com/redir-sf.php3?list=snort-users" TARGET="_blank">http://www.geocrawler.com/redir-sf.php3?list=snort-users</A></FONT>
</P>

</BODY>
</HTML>