
<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <div class="moz-cite-prefix">On 13/12/2012 20:56, Steve Marotta

      wrote:<br>

    </div>

    <blockquote

      cite="mid:387333E9F118A9429BD1AEAFF6DE644A31115FB6AF@...16015..."

      type="cite">

      <meta content="text/html; charset=ISO-8859-1"

        http-equiv="Content-Type">

      <meta content="text/html; charset=ISO-8859-1"

        http-equiv="Content-Type">

      <meta content="Microsoft Word 12 (filtered medium)"

        name="Generator">

      <style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri","sans-serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri","sans-serif";

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

      <div>

        <div>

          <div class="WordSection1">

            <p class="MsoNormal">Hi,<o:p></o:p></p>

            <p class="MsoNormal"><o:p> </o:p></p>

            <p class="MsoNormal">Is there a way to run Snort in NIDS

              mode on large (>500MB) pcap dumps? When I try to run

              snort –dev –l (mylog) –r (myfile) –c /etc/snort.conf, I

              get, “Value too large for defined data type” and “ERROR:

              Error getting pcaps”.<o:p></o:p></p>

            <p class="MsoNormal"><o:p> </o:p></p>

            <p class="MsoNormal">Is this because the file I’m reading is

              too large? If so, is there a workaround?<o:p></o:p></p>

            <p class="MsoNormal"><o:p> </o:p></p>

          </div>

        </div>

        <div> </div>

      </div>

    </blockquote>

    Have you tried tcpreplay to an interface that snort is listening on?<br>

    <pre class="moz-signature" cols="72">-- 

Regards,


Giles Coochey, CCNA, CCNAS

NetSecSpec Ltd

+44 (0) 7983 877438

<a class="moz-txt-link-freetext" href="http://www.coochey.net">http://www.coochey.net</a>

<a class="moz-txt-link-freetext" href="http://www.netsecspec.co.uk">http://www.netsecspec.co.uk</a>

<a class="moz-txt-link-abbreviated" href="mailto:giles@...9346...">giles@...9346...</a>

</pre>

  </body>

</html>