<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1479" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV dir=ltr align=left><SPAN class=549285506-14022005><FONT face=Arial 
color=#0000ff size=2>Actually your issue would appear to be the RFMON mode, not 
your winpcap - you say that snort/windump works but not with the wireless nic? 
RMON would be the component that puts the wireless nic into receive mode, so if 
this isn't enabled, then that could be the problem (not winpcap, per my previous 
msg).</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=549285506-14022005><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=549285506-14022005><FONT face=Arial 
color=#0000ff size=2>Adam</FONT></SPAN></DIV><BR>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> snort-users-admin@...3471...ge.net 
[mailto:snort-users-admin@lists.sourceforge.net] <B>On Behalf Of </B>Ben van der 
Merwe<BR><B>Sent:</B> Sunday, February 13, 2005 10:09 PM<BR><B>To:</B> 
snort-users@lists.sourceforge.net<BR><B>Subject:</B> [Snort-users] no packets 
logged on wireless NIC using WinPcap 3.0, winsnort<BR></FONT><BR></DIV>
<DIV></DIV>
<DIV><FONT face=Arial size=2>[Is this a 'wireless' limitation or a WinPCap/win32 
limitation. Is 'snort wireless' ok on linux ???]</FONT></DIV>
<DIV><FONT face=Arial size=2>Original message:</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV>
<DIV><FONT face=Arial size=2>Everything seems ok when I do a 'snort 
-W':</FONT></DIV>
<DIV><FONT face=Arial 
size=2>Interface Device  Description<BR>-------------------------------------------<BR>1  
\Device\NPF_{24284523-9129-4F0E-83A3-FB0731F53D25} (D-Link AirPlus Xtreme G 
DWL-G520 Adapter (Microsoft's Packet Scheduler) )</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>(although I am sure that I also 
had another eth interface listed when doing a similar command in 
windump)</FONT></DIV>
<DIV> </DIV>
<DIV><FONT face=Arial size=2>When I try to log packets with 
'</FONT> <FONT face=Arial size=2>snort -b -v -l c:\Snort\log -i 
1'</FONT></DIV>
<DIV><FONT face=Arial size=2>I get an empty log file (which is deleted as soon 
as I stop snort).</FONT></DIV>
<DIV><FONT face=Arial size=2>I have used snort on linux for a while now, but I 
may be missing something obvious. I will continue scrutinizing README.wireless, 
README.win32 and the faq in case I am doing something stupid.</FONT></DIV>
<DIV><FONT face=Arial size=2>I have used tcpdump (windump) for a while, but the 
wireless cards were not really supported.</FONT></DIV>
<DIV><FONT face=Arial size=2>snort (and winsnort) seem to have good support for 
wireless cards - is this due to an improvement in WinPcap ?</FONT></DIV>
<DIV><FONT face=Arial size=2>If this is true tcpdump should also have better 
support for wireless NIC's.</FONT></DIV>
<DIV><FONT face=Arial size=2>Finally, what is meant by a wirleless card that is 
in "RFMON" mode ? Is this not the default setting ? (How can I change this 
?)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Some additional info on my 
installation:</FONT></DIV>
<DIV><FONT face=Arial size=2>1) snort version: Version 
2.3.0RC2-ODBC-MySQL-FlexRESP-WIN32 (Build 9)</FONT></DIV>
<DIV><FONT face=Arial size=2>2) WinPcap 3.0</FONT></DIV>
<DIV><FONT face=Arial size=2>3) Windows XP Home Service Pack 2 (with automatic 
updates)</FONT></DIV>
<DIV><FONT face=Arial size=2>(I also had to change the permissions on my 
c:\snort directories before the empty log file was created.)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Thank you.</FONT></DIV>
<DIV><FONT face=Arial size=2>Ben</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV></DIV></BODY></HTML>