<div dir="ltr">To Waldo kitty<br><br><div><div class="gmail_extra">I install from .tar.gz (source not binary)<br><br><br></div><div class="gmail_extra"><br><div class="gmail_quote">2014-08-19 0:52 GMT+07:00  <span dir="ltr"><<a href="mailto:snort-users-request@lists.sourceforge.net" target="_blank">snort-users-request@lists.sourceforge.net</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Send Snort-users mailing list submissions to<br>
        <a href="mailto:snort-users@...5870....net">snort-users@lists.sourceforge.net</a><br>
<br>
To subscribe or unsubscribe via the World Wide Web, visit<br>
        <a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
or, via email, send a message with subject or body 'help' to<br>
        <a href="mailto:snort-users-request@...974...rceforge.net">snort-users-request@lists.sourceforge.net</a><br>
<br>
You can reach the person managing the list at<br>
        <a href="mailto:snort-users-owner@...635...eforge.net">snort-users-owner@lists.sourceforge.net</a><br>
<br>
When replying, please edit your Subject line so it is more specific<br>
than "Re: Contents of Snort-users digest..."<br>
<br>When responding, please don't respond with the entire Digest.  Please trim your response.<br>Today's Topics:<br>
<br>
   1. Re: May be wrong error msg (waldo kitty)<br>
   2. Re: May be wrong error msg (Balasubramaniam Natarajan)<br>
   3. Got the "ERROR: Cannot decode data link type 239" message<br>
      when turn on sniffer mode (Jutichai Thongkrachai)<br>
   4. Tcp session hijacking (Meysam Farazmand)<br>
   5. Re: Got the "ERROR: Cannot decode data link type 239" message<br>
      when turn on sniffer mode (waldo kitty)<br>
   6. Re: Tcp session hijacking (waldo kitty)<br>
   7. Snort Blog: Snort Subscriber Ruleset: Re-categorization of<br>
      the Shared Object Rules (Joel Esler (jesler))<br>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>><br>To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...1753...s.sourceforge.net</a><br>
Cc: <br>Date: Sat, 16 Aug 2014 13:23:59 -0400<br>Subject: Re: [Snort-users] May be wrong error msg<br>On 8/16/2014 2:54 AM, Balasubramaniam Natarajan wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi<br>
<br>
While installing snort, I included a particular rule in its conf file.  Later<br>
when I ran snort against a pcap I found that snort's error message was not<br>
completely correct (Or my understanding about it is wrong) about pointing the<br>
absolute RULE_PATH.  Attached is a screenshot for your reference.<br>
</blockquote>
<br>
snort automatically adds etc/ to paths when it cannot access the specified file... are your permissions correct for the file in question so that snort can load it??<br>
<br>
-- <br>
 NOTE: No off-list assistance is given without prior approval.<br>
       Please *keep mailing list traffic on the list* unless<br>
       private contact is specifically requested and granted.<br>
<br>
<br>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: Balasubramaniam Natarajan <<a href="mailto:bala150985@...11827...">bala150985@...13704......</a>><br>To: waldo kitty <<a href="mailto:wkitty42@...14945......">wkitty42@...14940...</a>><br>
Cc: "<a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a>" <<a href="mailto:snort-users@...1753...s.sourceforge.net">snort-users@lists.sourceforge.net</a>><br>Date: Sat, 16 Aug 2014 23:31:13 +0530<br>
Subject: Re: [Snort-users] May be wrong error msg<br><div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Aug 16, 2014 at 10:53 PM, waldo kitty <span dir="ltr"><<a href="mailto:wkitty42@...14940..." target="_blank">wkitty42@...14940...</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>
<br>
</div>snort automatically adds etc/ to paths when it cannot access the specified<br>
file... are your permissions correct for the file in question so that snort can<br>
load it??<br>
<br></blockquote></div><br></div><div class="gmail_extra">Well I figured out that there was no file with that name in the rules directory and I had removed that rule line from the snort.conf file.  However why would snort add <b>/sec/snort/etc/</b> to the path without which I could have spotted the error more easily.  Does it signify the place from where my conf file is getting loaded ?  If yes, I would not understand the reason for that.<br clear="all">


</div><div class="gmail_extra"><br>-- <br><div dir="ltr">Regards,<br>Balasubramaniam Natarajan<br><a href="http://blog.etutorshop.com" target="_blank">http://blog.etutorshop.com</a><br></div>
</div></div>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: Jutichai Thongkrachai <<a href="mailto:thsecmaniac@...11827...">thsecmaniac@...14542....</a>><br>To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@lists.sourceforge.net</a><br>
Cc: <br>Date: Sun, 17 Aug 2014 14:10:49 +0700<br>Subject: [Snort-users] Got the "ERROR: Cannot decode data link type 239" message when turn on sniffer mode<br><div dir="ltr"><div><div><div>Hello<br><br></div>I would like to turn on Sniffer mode of Snort 2.9.6 on Centos 7 but I got the error below:<br>
<br>------------------------------------------------<br>./snort -v<br>Running in packet dump mode<br>
<br>        --== Initializing Snort ==--<br>Initializing Output Plugins!<br>pcap DAQ configured to passive.<br>Acquiring network traffic from "nflog".<br>ERROR: Cannot decode data link type 239<br>Fatal Error, Quitting..<br>

-------------------------------------------------<br><br></div>Please help.<br></div></div>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: Meysam Farazmand <<a href="mailto:farazmand.meisam@...11827...">farazmand.meisam@...5119...827...</a>><br>To: <a href="mailto:snort-users@...3783...net">snort-users@lists.sourceforge.net</a><br>
Cc: <br>Date: Sun, 17 Aug 2014 14:07:51 +0430<br>Subject: [Snort-users] Tcp session hijacking<br><p dir="ltr">Hi all,</p>
<p dir="ltr">I used "check_session_hijacking" in stream5 preprocessor for session hijacking attacks detection and launched a mitm attack. But snort did not detect it. I also checked preprocessor rules for detecting this type of attack and there was some rules in my ruleset.</p>


<p dir="ltr">Does anyone know how to configure snort to detect session hijacking and mitm attacks?</p>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>><br>To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...1753...s.sourceforge.net</a><br>
Cc: <br>Date: Sun, 17 Aug 2014 12:52:55 -0400<br>Subject: Re: [Snort-users] Got the "ERROR: Cannot decode data link type 239" message when turn on sniffer mode<br>On 8/17/2014 3:10 AM, Jutichai Thongkrachai wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
------------------------------<u></u>------------------<br>
./snort -v<br>
Running in packet dump mode<br>
<br>
         --== Initializing Snort ==--<br>
Initializing Output Plugins!<br>
pcap DAQ configured to passive.<br>
Acquiring network traffic from "nflog".<br>
ERROR: Cannot decode data link type 239<br>
Fatal Error, Quitting..<br>
------------------------------<u></u>-------------------<br>
</blockquote>
<br>
is this self compiled or a binary you downloaded from somewhere?<br>
<br>
<br>
-- <br>
 NOTE: No off-list assistance is given without prior approval.<br>
       Please *keep mailing list traffic on the list* unless<br>
       private contact is specifically requested and granted.<br>
<br>
<br>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: waldo kitty <<a href="mailto:wkitty42@...14940...">wkitty42@...14940...</a>><br>To: <a href="mailto:snort-users@lists.sourceforge.net">snort-users@...1753...s.sourceforge.net</a><br>
Cc: <br>Date: Sun, 17 Aug 2014 12:55:48 -0400<br>Subject: Re: [Snort-users] Tcp session hijacking<br>On 8/17/2014 5:37 AM, Meysam Farazmand wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi all,<br>
<br>
I used "check_session_hijacking" in stream5 preprocessor for session hijacking<br>
attacks detection and launched a mitm attack. But snort did not detect it.<br>
</blockquote>
<br>
session hijacking and mitm are not the same...<br>
<br>
session hijacking is where you take over or continue with someone's existing or previous session...<br>
<br>
mitm is where you are in the middle and have valid sessions with both parties and pass their traffic across while doing what you want with it in the middle...<br>
<br>
<br>
-- <br>
 NOTE: No off-list assistance is given without prior approval.<br>
       Please *keep mailing list traffic on the list* unless<br>
       private contact is specifically requested and granted.<br>
<br>
<br>
<br><br>---------- จดหมายที่ถูกส่งต่อ ----------<br>From: "Joel Esler (jesler)" <<a href="mailto:jesler@...589...">jesler@...589...</a>><br>To: snort-sigs <<a href="mailto:snort-sigs@...4137...orge.net">snort-sigs@lists.sourceforge.net</a>>, snort-devel mailinglist <<a href="mailto:snort-devel@lists.sourceforge.net">snort-devel@...7287....sourceforge.net</a>>, snort-users <<a href="mailto:snort-users@...3204...ts.sourceforge.net">snort-users@lists.sourceforge.net</a>>, "<a href="mailto:snort-openappid@lists.sourceforge.net">snort-openappid@...4422...urceforge.net</a>" <<a href="mailto:snort-openappid@...4137...orge.net">snort-openappid@lists.sourceforge.net</a>><br>
Cc: <br>Date: Mon, 18 Aug 2014 17:52:30 +0000<br>Subject: [Snort-users] Snort Blog: Snort Subscriber Ruleset: Re-categorization of the Shared Object Rules<br>



<div style="word-wrap:break-word">
<br>
<blockquote type="cite" style="border-left-style:none;color:inherit;padding:inherit;margin:inherit">
Snort Subscriber Ruleset: Re-categorization of the Shared Object Rules<br>
<br>
In 2012, the VRT (now Talos) performed a massive restructuring of the plaintext ruleset from the old category structure to a new category structure.  Since then we've received overwhelmingly positive feedback about them, so we will continue the effort by moving
 the Shared Object Rules into a similar category structure.<br>
<br>
</blockquote>
<br>
Read more here:<br>
<br>
<a href="http://blog.snort.org/2014/08/snort-subscriber-ruleset-re.html" target="_blank">http://blog.snort.org/2014/08/snort-subscriber-ruleset-re.html</a><br>
<div><br>
</div>
<div><br>
</div>
<div>--<br>
Joel Esler<br>
Open Source Manager<br>
Threat Intelligence Team Lead<br>
Talos</div>
</div>

<br>------------------------------------------------------------------------------<br>
<br>_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...4626...ceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
<br></blockquote></div><br></div></div></div>