<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.E-mailStijl17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="NL-BE" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I’m a student trying to set up snort.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I’ve ran into trouble trying to get multiple snort instances listening on one interface (I have too much traffic for one instance to handle).<br>
<br>
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I’m using a RHEL 6.5 server<br>
Snort version:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">  ,,_     -*> Snort! <*-</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">  o"  )~   Version 2.9.6.0 GRE (Build 47)
</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">   ''''    By Martin Roesch & The Snort Team:
<a href="http://www.snort.org/snort/snort-team"><span style="color:blue">http://www.snort.org/snort/snort-team</span></a></span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">           Copyright (C) 2014 Cisco and/or its affiliates. All rights reserved.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">           Copyright (C) 1998-2013 Sourcefire, Inc., et al.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">           Using libpcap version 1.5.3</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">           Using PCRE version: 7.8 2008-09-05</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US" style="color:#4F81BD">           Using ZLIB version: 1.2.</span><span lang="EN-US"><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">DAQ-version: daq-2.0.2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">PF_RING version: PF_RING-5.6.2<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I removed the driver and pf_ring modules (if they were loaded)<o:p></o:p></span></p>
<p class="MsoNormal"><i><span lang="EN-US">“<span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">rmmod ixgbe.ko<o:p></o:p></span></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Rmmod pf_ring.ko</span></i><i><span lang="EN-US">”<o:p></o:p></span></i></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I loaded the driver:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">cd /root/PF_RING-5.6.2/drivers/DNA/ixgbe-3.18.7-DNA/src/<o:p></o:p></span></i></span></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Insmod ixgbe.ko</span></i><span lang="EN-US">”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I loaded pf_ring:<o:p></o:p></span></p>
<p class="MsoNormal">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">cd /root/PF_RING-5.6.2/kernel/<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make install<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Insmod pf_ring.ko transparent_mode=0 min_num_slots=16384</span></i><span lang="EN-US">”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I compiled daq with the following options:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">cd /root/daq-2.0.2/<br>
./configure –disable-nfq-module –disable-ipq-module –with-libpcap-includes=/usr/local/include –with-libpcap-libraries=/usr/local/lib</span></i>”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Made the PF_RING DAQ Module:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">cd /root/PF_RING-5.6.2/userland/snort/pfring-daq-module/<o:p></o:p></span></i></span></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Autoreconf –ivf<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">./configure<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make install</span></i><span lang="EN-US">”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Compiled snort like this:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">cd /root/snort-2.9.6.0/<o:p></o:p></span></i></span></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">./configure –with-libpcap-includes=/usr/local/include –with-libpcap-libraries=/usr/local/lib –with-libpfring-includes=/usr/local/include/daq
 –with-libpfring-includes=/usr/local/lib/daq –enable-sourcefire –enable-perfprofiling<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make
<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Make install</span></i><span lang="EN-US">”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">I modified this into my init.d script:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">for i in 1 2 3 4 5 6 7 8; do<o:p></o:p></span></i></span></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">      daemon /usr/sbin/snort –A Fast -N -D -i dna1@$i -u snort -g snort –c /etc/snort/snort.conf –daq-dir=/usr/local/lib/daq
 –daq-mode passive –daq pfring &<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">done</span></i><span lang="EN-US">”<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Each snort instance then fails with:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">“<i><span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">pfring DAQ configured to passive.<o:p></o:p></span></i></span></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">FATAL ERROR: Can't initialize DAQ pfring (-1) -</span></i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">
</span><span lang="EN-US">"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">When I run snort without the daq-configuration options, snort fails with the following message:<o:p></o:p></span></p>
<p class="MsoNormal"><i><span lang="EN-US">“<span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">pcap DAQ configured to passive.<o:p></o:p></span></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Acquiring network traffic from "dna1@...2546...".<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Initializing daemon mode<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Daemon initialized, signaled parent pid: 24786<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Reload thread starting...<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">Reload thread started, thread 0x7f149cb45700 (25309)<o:p></o:p></span></i></p>
<p class="MsoNormal"><i><span lang="EN-US" style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%">FATAL ERROR: Can't start DAQ (-1) - SIOCGIFHWADDR: No such device!</span></i><i><span lang="EN-US">”<o:p></o:p></span></i></p>
<p class="MsoNormal"><span lang="EN-US">The ‘ip link list’ command shows dna1 as up<span style="color:#558ED5;mso-style-textfill-fill-color:#558ED5;mso-style-textfill-fill-alpha:100.0%"><o:p></o:p></span></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">If you need more info, please ask so I can provide it.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Thank you in advance.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
</div>
</body>
</html>