<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif; ">
<div><br>
</div>
<div>Hello Ben,</div>
<div><br>
</div>
<div>Just out of curiosity, are you using the pcap DAQ? What version of libpcap do you have installed? I have experienced the same issue with Arch x64 and it seems to be tied to a versioning issue (libpcap 1.5.1-1 and above breaks in my case). Try either using
 the afpacket DAQ (add —daq afpacket to the command line) or downgrading to libpcap 1.4.0 (here is a link for convenience: http://www.tcpdump.org/release/libpcap-1.4.0.tar.gz).</div>
<div><br>
</div>
<div>Let me know how that works,</div>
<div>Carter</div>
<div><br>
</div>
<span id="OLK_SRC_BODY_SECTION">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Ben Jacobs-Swearingen <<a href="mailto:bjsdaiyu@...11827...">bjsdaiyu@...11827...</a>><br>
<span style="font-weight:bold">Date: </span>Wednesday, January 8, 2014 7:39 PM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>" <<a href="mailto:snort-users@lists.sourceforge.net">snort-users@...974...rceforge.net</a>><br>
<span style="font-weight:bold">Subject: </span>[Snort-users] snort suddenly not capturing packets<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">Hello: 
<div><br>
</div>
<div>I recently restarted snort  on an ArchLinux ARM (Raspberry Pi) sensor with new rules (and a slightly modified snort.conf) ; the post-reboot snort will launch without explicit errors but appears not to be listening to any interfaces on the sensor and I
 am unable to figure out why.  Snort had been working correctly for months prior to this change.  </div>
<div><br>
</div>
<div>The sensor has two interfaces, eth0 and eth1; mirrored traffic (for snort to process) is being sent to eth0 (which is up and running though it does not have a configured IP address), while eth1 has a configured address on an admin segment. prior to changing
 the rules and rebooting snort, snort was listening to and correctly processing traffic on eth0.</div>
<div><br>
</div>
<div>-  "tcpdump -i eth0" works just fine, it sees all mirrored traffic</div>
<div><br>
</div>
<div>- "snort -dev -l . -i eth0" makes it to the "listening" stage but appears to not pick up any of the traffic i generate across the interface; again, tcpdump sees this traffic just fine.  "snort -dev ..."  also does not work when I set it to listen on eth1
 (tcpdump works there as well).</div>
<div><br>
</div>
<div>- "snort -r <bad.pcap> -c .../snort.conf" with <bad.pcap> containing traffic I want flagged DOES work correctly: the traffic is processed according to the rules, alerts are correct and sent to the correct repository.  </div>
<div><br>
</div>
<div>I suspect my changes to snort.conf might have introduced a problem that I simply am not seeing so have attached the conf file for examination (but am confused in that case why "snort -r" is working since it's using the same conf file). <br>
</div>
<div><br>
</div>
<div>Alternately, I have attached an strace in case something with the interface setup somehow got screwed up (as suggest by the fact that snort replay is working). I see in strace there are some errors with setsockopt(...) which might be more relevant to the
 capturing issue; any idea what might be causing those, assuming that those aren't par for the course?</div>
<div><br>
</div>
<div>The only similar posts I could find on this topic discuss various issues with DAQ; I don't see how those might apply in my case since the installation was working for months prior to today.  </div>
<div><br>
</div>
<div>Thanks for any help. </div>
</div>
</div>
</div>
</span>
</body>
</html>