<html><body bgcolor="#FFFFFF"><div>Looks like you are not specifying an interface to sniff on. Try that.  <br><br><div>--</div>Sent from my iPad<div>AIM: eslerjoel</div></div><div><br>On Apr 30, 2010, at 6:16 AM, Max Williams <<a href="mailto:Max.Williams@...14855...">Max.Williams@...14843...55...</a>> wrote:<br><br></div><div></div><blockquote type="cite"><div>

<div class="Section1">

<p class="MsoNormal">Hi,<o:p></o:p></p>

<p class="MsoNormal">I am new to snort but have got it running on Linux hosts
with no problems. I have an issue with Windows 2008 though. I can start snort but
it just doesn’t register any alerts:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">c:\Snort\bin>snort.exe
-c c:\Snort\etc\snort.conf -l C:\Snort\log -A console<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><snip><o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">[
Port Based Pattern Matching Memory ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">+-[AC-BNFA
Search Info Summary]------------------------------<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Instances        : 422<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Patterns         : 129205<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Pattern Chars    : 1125821<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Num States       : 769140<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Num Match States : 116175<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|
Memory          
:   18.72Mbytes<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|  
Patterns       :   4.03M<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|  
Match Lists    :   5.48M<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">|  
Transitions    :   9.11M<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">+-------------------------------------------------<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">[
Number of null byte prefixed patterns trimmed: 16976 ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">       
--== Initialization Complete ==--<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">  
,,_     -*> Snort! <*-<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D"> 
o"  )~   Version 2.8.6-ODBC-MySQL-FlexRESP-WIN32 IPv6 GRE
(Build 38)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">  
''''    By Martin Roesch & The Snort Team:
<a href="http://www.snort.org/snort/snort-team"><a href="http://www.snort.org/snort/snort-team">http://www.snort.org/snort/snort-team</a></a><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Copyright (C) 1998-2010 Sourcefire, Inc., et al.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Using PCRE version: 7.4 2007-09-21<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">     
     Using ZLIB version: 1.2.3<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 1.12  <Build
18><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_SSLPP (IPV6)  Version 1.1  <Build 4><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_SSH (IPV6)  Version 1.1  <Build 3><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">    
      Preprocessor Object: SF_SMTP (IPV6) 
Version 1.1  <Build 9><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_SDF (IPV6)  Version 1.1  <Build 1><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_FTPTELNET (IPV6)  Version 1.2  <Build
13><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_DNS (IPV6)  Version 1.1  <Build 4><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_DCERPC (IPV6)  Version 1.1  <Build 5><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">          
Preprocessor Object: SF_DCERPC2 (IPV6)  Version 1.0  <Build 3><o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-family:"Cambria","serif";color:#1F497D">Not
Using PCAP_FRAMES<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">While its running as above I’ve tried pinging the host
with large packets and various nmap scans which all register alerts on the
linux hosts but on windows nothing is printed on the console. I’ve got
the latest rules.<o:p></o:p></p>

<p class="MsoNormal">Can someone give me some pointers on how to troubleshoot this
further?<o:p></o:p></p>

<p class="MsoNormal">TIA and Best Regards,<o:p></o:p></p>

<p class="MsoNormal">Max Williams<span style="font-size:9.0pt;color:#A6A6A6"><o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>




</div></blockquote><blockquote type="cite"><div><span>------------------------------------------------------------------------------</span><br></div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Snort-users mailing list</span><br><span><a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...1753...s.sourceforge.net</a></span><br><span>Go to this URL to change user options or unsubscribe:</span><br><span><a href="https://lists.sourceforge.net/lists/listinfo/snort-users">https://lists.sourceforge.net/lists/listinfo/snort-users</a></span><br><span>Snort-users list archive:</span><br><span><a href="http://www.geocrawler.com/redir-sf.php3?list=snort-users">http://www.geocrawler.com/redir-sf.php3?list=snort-users</a></span></div></blockquote></body></html>