<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Quick and dirty with Wireshark (non-gui) installed:<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>/usr/local/bin/dumpcap -q -b filesize:409600 -b files:150 -Z none -f "ip and port 80" -i eth2 -w /capture/webtraffic.pcap<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>400 meg files that will save up to 150 them before removing old ones, file names include timestamp: webtraffic_00595_20131220083146.pcap<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>James<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:.5in'><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif"'> Kevin Ross [mailto:kevross33@...14012...] <br><b>Sent:</b> Friday, December 20, 2013 8:11 AM<br><b>To:</b> Onno van der Leun<br><b>Cc:</b> snort-users@lists.sourceforge.net<br><b>Subject:</b> Re: [Snort-users] Can snort dump full pcap of alert?<o:p></o:p></span></p><p class=MsoNormal style='margin-left:.5in'><o:p> </o:p></p><div><div><div><div><div><p class=MsoNormal style='margin-left:.5in'>You are better using a tool like these to do full packet capture:<br> openfpc <br><a href="http://www.openfpc.org/">http://www.openfpc.org/</a><o:p></o:p></p></div><p class=MsoNormal style='margin-left:.5in'> moloch<br><a href="http://blog.alejandronolla.com/2013/04/06/moloch-capturing-and-indexing-network-traffic-in-realtime/">http://blog.alejandronolla.com/2013/04/06/moloch-capturing-and-indexing-network-traffic-in-realtime/</a><br><a href="https://github.com/aol/moloch">https://github.com/aol/moloch</a><o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in'>stremdb<br><a href="http://code.google.com/p/streamdb/">http://code.google.com/p/streamdb/</a><o:p></o:p></p></div><p class=MsoNormal style='mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in'>Each of these are good choices although right now I use openfpc (although it is broken for me at the moment :( ) but I want to use moloch but the requirements for that because of the indexing of traffic is higher than I can provide it seems.<o:p></o:p></p></div><p class=MsoNormal style='margin-left:.5in'>Regards,<br>Kevin<o:p></o:p></p><div><div><div><div><div><p class=MsoNormal style='margin-left:.5in'><o:p> </o:p></p></div></div></div></div></div></div><div><p class=MsoNormal style='mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in'><o:p> </o:p></p><div><p class=MsoNormal style='margin-left:.5in'>On 19 December 2013 16:35, Onno van der Leun <<a href="mailto:onno@...16627..." target="_blank">onno@...16627...</a>> wrote:<o:p></o:p></p><p class=MsoNormal style='margin-left:.5in'>Hi,<br><br>Just wondering. I've setup snort and it triggered an alert. The alert<br>is: OS-WINDOWS Microsoft Windows Shell Handler remote code ...<br>sid=1:16414<br><br>In snorby it's showing a dump of the payload. But that is only of that<br>specific packet? Dump is like:<br>0000000: 54 f1 c7 e1 57 2a e3 b3 36 c0 ea aa 17   82 aa 2d f0 0e 51 f3<br>fb 4a 50 e1 a5 45  T...W*..6......-..Q..JP..E<br>000001A: c4 7d e9 3f 93 b5 32 cd cd f1 95 41 0d   38 1d 02 d1 6e 01 51<br>0d d2 8b 7e fa 85  .}.?..2....A.8...n.Q...~..<br>0000034: 4a d5 48 71 0e a8 d0 50 45 37 cd 21 ae   53 d1 15 91 9b a4 c4<br>21 e9 e6 54 6c 25  J.Hq...PE7.!.S......!..Tl%<br>000004E: 45 95 14 03 c1 ad 5c 38 44 c8 4f 64 22   53 25 56 95 19 a0 5d<br>42 b3 e0 d5 57 b1  E.....\8D.Od"S%V...]B...W.<br>0000068: 02 00 2a 0e 61 75 90 49 c0 42 a9 ed 81   6c e3 d0 e1 d7 86 69<br>fc eb 7f a1 80 2f  ..*.au.I.B...l.....i...../<br><br>Not really readable. ;o) So I was wondering if snort is able to generate<br>a 'session pcap' when a rule is hit.<br><br>I'm running snort with barnyard2 (unified2). Options used are: -d and -D<br>(and couple of others for conf, user and -l <dir>)<br><br>Do I need to add option -b ? (or a complete other program? ;o) )<br><br>Regards,<br>Onno.<br><br><br>------------------------------------------------------------------------------<br>Rapidly troubleshoot problems before they affect your business. Most IT<br>organizations don't have a clear picture of how application performance<br>affects their revenue. With AppDynamics, you get 100% visibility into your<br>Java,.NET, & PHP application. Start your 15-day FREE TRIAL of AppDynamics Pro!<br><a href="http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk" target="_blank">http://pubads.g.doubleclick.net/gampad/clk?id=84349831&iu=/4140/ostg.clktrk</a><br>_______________________________________________<br>Snort-users mailing list<br><a href="mailto:Snort-users@...4626...ceforge.net">Snort-users@lists.sourceforge.net</a><br>Go to this URL to change user options or unsubscribe:<br><a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>Snort-users list archive:<br><a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br><br>Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<o:p></o:p></p></div><p class=MsoNormal style='margin-left:.5in'><o:p> </o:p></p></div></div></body></html>