<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>Message</TITLE>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1170" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff size=2>Never 
forget, the packets must *pass* the sniffer interface for it to report any 
alerts.  If you're doing a Nessus scan from box A to box B like 
this:</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff size=2>A 
------------>> B ----------->> C</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>                             
|</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>                             
|</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>                         
snort</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2> snort will never see it.</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff size=2>If 
you're doing it like this:</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2></FONT></SPAN> </DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>A------------->> B</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>        |</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>        |</FONT></SPAN></DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff 
size=2>     snort</FONT></SPAN></DIV>
<DIV><FONT face=Arial color=#0000ff size=2></FONT> </DIV>
<DIV><SPAN class=352562020-01082003><FONT face=Arial color=#0000ff size=2>Then 
snort will see it.  *If* you have all your devices plugged in to a hub 
*and* you are *certain* that it's not really a switch, then snort should see 
anything on that hub, but that's a big if these days.  I've seen many 
"hubs" at the local computer store that are really switches when you read the 
specs.</FONT></SPAN></DIV>
<DIV><FONT face=Arial color=#0000ff size=2></FONT> </DIV><!-- Converted from text/plain format -->
<P><FONT size=2>Paul Schmehl (pauls@...6838...)<BR>Adjunct Information 
Security Officer<BR>The University of Texas at Dallas<BR>AVIEN Founding 
Member<BR><A 
href="http://www.utdallas.edu/~pauls/">http://www.utdallas.edu/~pauls/</A> 
</FONT></P>
<BLOCKQUOTE dir=ltr 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV></DIV>
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left><FONT 
  face=Tahoma size=2>-----Original Message-----<BR><B>From:</B> Brandon Hanks 
  [mailto:hanksbc@...8070...] <BR><B>Sent:</B> Friday, August 01, 2003 2:32 
  PM<BR><B>To:</B> snort-users@lists.sourceforge.net<BR><B>Subject:</B> 
  [Snort-users] Help!!!<BR><BR></FONT></DIV>
  <DIV><FONT face=Arial size=2>I used Patrick S. Harper's install guide, <A 
  href="http://www.snort.org/docs/snort_acid_rh9.pdf"><FONT 
  face="Times New Roman" color=#003399 size=3>Snort, Apache, PHP, MySQL, ACID on 
  Redhat 9.0 Installation Guide</FONT></A><FONT face="Times New Roman" size=3> 
  <FONT face=Arial size=2>, without any problems.  Here is my problem: When 
  I perform a Nessus audit on a machine on my local network, Snort does not log 
  any intrusion detection activity.  But, when I direct the Nessus audit 
  directly at the box running Snort, the log files are generated and can be 
  viewed using Acid.  In my snort.conf file, I defined my local network as 
  192.168.0.0/24, which covers a small windows environment.  BTW, using 
  Snort 2.0.  The Snort box is located on my local network at 
  192.168.0.198.  Why does it not register,log, or recognize attacks 
  directed at machines within its local network?  Any help will be greatly 
  appreciated...Thanks</FONT></FONT></FONT></DIV></BLOCKQUOTE></BODY></HTML>