<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.2900.2604" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>[Is this a 'wireless' limitation or a WinPCap/win32 
limitation. Is 'snort wireless' ok on linux ???]</FONT></DIV>
<DIV><FONT face=Arial size=2>Original message:</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>
<DIV><FONT face=Arial size=2>Everything seems ok when I do a 'snort 
-W':</FONT></DIV>
<DIV><FONT face=Arial 
size=2>Interface Device  Description<BR>-------------------------------------------<BR>1  
\Device\NPF_{24284523-9129-4F0E-83A3-FB0731F53D25} (D-Link AirPlus Xtreme G 
DWL-G520 Adapter (Microsoft's Packet Scheduler) )</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>(although I am sure that I also 
had another eth interface listed when doing a similar command in 
windump)</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>When I try to log packets with 
'</FONT> <FONT face=Arial size=2>snort -b -v -l c:\Snort\log -i 
1'</FONT></DIV>
<DIV><FONT face=Arial size=2>I get an empty log file (which is deleted as soon 
as I stop snort).</FONT></DIV>
<DIV><FONT face=Arial size=2>I have used snort on linux for a while now, but I 
may be missing something obvious. I will continue scrutinizing README.wireless, 
README.win32 and the faq in case I am doing something stupid.</FONT></DIV>
<DIV><FONT face=Arial size=2>I have used tcpdump (windump) for a while, but the 
wireless cards were not really supported.</FONT></DIV>
<DIV><FONT face=Arial size=2>snort (and winsnort) seem to have good support for 
wireless cards - is this due to an improvement in WinPcap ?</FONT></DIV>
<DIV><FONT face=Arial size=2>If this is true tcpdump should also have better 
support for wireless NIC's.</FONT></DIV>
<DIV><FONT face=Arial size=2>Finally, what is meant by a wirleless card that is 
in "RFMON" mode ? Is this not the default setting ? (How can I change this 
?)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Some additional info on my 
installation:</FONT></DIV>
<DIV><FONT face=Arial size=2>1) snort version: Version 
2.3.0RC2-ODBC-MySQL-FlexRESP-WIN32 (Build 9)</FONT></DIV>
<DIV><FONT face=Arial size=2>2) WinPcap 3.0</FONT></DIV>
<DIV><FONT face=Arial size=2>3) Windows XP Home Service Pack 2 (with automatic 
updates)</FONT></DIV>
<DIV><FONT face=Arial size=2>(I also had to change the permissions on my 
c:\snort directories before the empty log file was created.)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Thank you.</FONT></DIV>
<DIV><FONT face=Arial size=2>Ben</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV></DIV></BODY></HTML>