<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD><TITLE>Reading a TCPdump file</TITLE>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2900.2523" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=031280115-22102004><FONT face=Arial 
color=#0000ff size=2>You might want to also try to add "-k none" to the command 
line. I would bet the checksums are bad.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=031280115-22102004><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=031280115-22102004><FONT face=Arial 
color=#0000ff size=2>Jeff</FONT></SPAN></DIV><BR>
<BLOCKQUOTE 
style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #0000ff 2px solid; MARGIN-RIGHT: 0px">
  <DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
  <HR tabIndex=-1>
  <FONT face=Tahoma size=2><B>From:</B> snort-users-admin@...4137...orge.net 
  [mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>Mark 
  Johnston<BR><B>Sent:</B> Thursday, October 21, 2004 10:16 AM<BR><B>To:</B> 
  snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] Reading a 
  TCPdump file<BR></FONT><BR></DIV>
  <DIV></DIV><!-- Converted from text/rtf format -->
  <P><FONT face=Arial size=2>Hi all,</FONT> </P>
  <P><FONT face=Arial size=2>Wondering if you can help with this matter that I 
  am having in reading a TCPdump format file.</FONT> </P>
  <P><FONT face=Arial size=2>I'm looking at one of the honeynet scan of the 
  month projects (#27). And what I'm trying to do is get snort to read the 
  TCPdump capture file and view the alerts. Thus far I have configured the conf 
  file to have the appropriate values and run snort against the file, however 
  I'm not getting any generated alerts. I know that I should be getting some 
  though. I also have the latest version of the rules and am running snort 2.2 
  for Fedora Core 2. The command that I am using is "snort -A full -c 
  /etc/snort/snort.conf -r sotm27"</FONT></P>
  <P><FONT face=Arial size=2>Just to see if snort is working properly I created 
  a "any any" rule and put it into NIDS mode. Alerts were generated then by the 
  dozens.</FONT></P>
  <P><FONT face=Arial size=2>Any ideas ?</FONT> </P>
  <P><FONT face=Arial size=2>Thanks</FONT> <BR><FONT face=Arial 
  size=2>Mark</FONT> </P><CODE><FONT 
  size=3><BR><BR>**********************************************************************<BR>This 
  e-mail and any files transmitted with it are confidential and <BR>intended 
  solely for the use of the individual or entity to whom they <BR>are addressed. 
  It may not be used or disclosed except for the <BR>purpose for which it has 
  been sent. If you have received this <BR>e-mail in error please notify the 
  system administrator <BR>postmaster@...12582... quoting the senders address. If 
  you are not the <BR>intended recipient you must not use, disclose, distribute, 
  copy, <BR>print or rely on this e-mail and must delete the message and any 
  <BR>documents. Please advise immediately if you or your employer <BR>do not 
  consent to Internet e-mail for messages of this kind. <BR>Unless expressly 
  stated, opinions in this message are those of <BR>the individual sender and 
  not of Blue Square. Blue Square <BR>accepts no liability or responsibility for 
  any onward transmission <BR>or use of e-mails and attachment having left the 
  Blue Square domain.<BR><BR><BR><BR>This footnote also confirms that this 
  e-mail message has been swept<BR>by MIMEsweeper for the presence of computer 
  viruses. Whilst we <BR>have taken reasonable precautions to ensure that this 
  e-mail and <BR>any attachments have been swept for viruses, we cannot accept 
  <BR>liability for any damage sustained as a result of software viruses and 
  <BR>would advise that you carry out your own virus checks before <BR>opening 
  any 
  attachment.<BR><BR><BR><BR>www.bluesq.com<BR>**********************************************************************<BR></BLOCKQUOTE></FONT></CODE></BODY></HTML>